À l’heure où la menace se globalise, la coopération à l’international s’impose plus que jamais comme une nécessité. L’ANSSI s’investit pleinement afin de contribuer à la stabilité du cyberespace, de renforcer ses alliances et partenariats, et de promouvoir le modèle français de cybersécurité. L'agence promeut le développement d’un cyberespace sûr, stable et ouvert. Elle participe activement aux discussions internationales sur la cybersécurité aux niveaux politique et normatif, et œuvre de concert avec l’ensemble de ses partenaires face aux menaces émanant du cyberespace.

Promouvoir à l’international la vision politique française de la sécurité du numérique

Encore considérée comme un sujet technique il y a quelques années, la cybersécurité est désormais perçue à la hauteur des enjeux systémiques associés, comme un enjeu de politique publique, de politique commerciale et de stabilité internationale.

Cette prise de conscience s’accompagne naturellement de la prise en compte du sujet dans différentes enceintes internationales : Union européenne (UE), Organisation des Nations unies (ONU), G7, G20, Organisation de coopération et de développement économiques (OCDE), Organisation pour la sécurité et la coopération en Europe (OSCE), Organisation du Traité de l’Atlantique Nord (OTAN), négociations commerciales internationales en cours…

L’ANSSI, qui a pour mission de contribuer aux travaux internationaux sur la cybersécurité de par son décret de 2011, participe à la définition et à la promotion des positions françaises dans ces enceintes, en étroite coordination avec les autres acteurs nationaux (ministère de l’Europe et des Affaires étrangères, Secrétariat général aux Affaires européennes, Secrétariat général de la Défense et de la Sécurité nationale, ministère des Armées, ministère de l’Economie, des Finances et de la Souveraineté industrielle et numérique…).

Numérique et commerce international : un enjeu pour la cybersécurité ?

Le numérique, vecteur de développement économique et sociétal, prend une place croissante dans les négociations économiques et commerciales internationales.

En tant qu’autorité nationale de sécurité du numérique, l’ANSSI promeut la bonne prise en compte des enjeux de sécurité dans ces discussions. Elle suit notamment les travaux en cours au sein du G7, du G20, de l’Organisation de coopération et de développement économiques (OCDE), de l’Organisation mondiale du commerce (OMC), ainsi que dans le cadre des accords commerciaux en cours de négociation entre l’Union européenne et ses partenaires extérieurs, le tout en étroite coopération avec l’ensemble des ministères compétents.

L’ANSSI porte une attention particulière aux enjeux relatifs à :

• la maîtrise des données, ressource de base de la société numérique ;
• l’évaluation de la sécurité des produits et services numériques, outil nécessaire au développement de la confiance des citoyens dans le numérique ;
• la préservation de la capacité des Etats, et de l’Union européenne, à réguler en matière numérique.

Construire l’autonomie stratégique européenne pour la sécurité du numérique

La France a été l'un des premiers pays européens à mettre en place une approche ambitieuse en matière de cybersécurité.

Forte de son expérience, elle s’attache à jouer un rôle moteur dans la définition des orientations stratégiques de l’UE en la matière en défendant notamment l’objectif d’autonomie stratégique européenne.

Objectif de la revue stratégique de cyberdéfense de février 2018, la France travaille avec les Etats membres volontaires à promouvoir cette vision qui repose sur trois piliers :

• la défense du droit des Etats et de l’Union européenne à définir de façon autonome des ambitions en termes de cybersécurité et à réguler en ce sens (pilier réglementaire) ;
• le développement d’un socle minimal de capacités de cybersécurité dans tous les Etats membres, ainsi que de cadres de coopération entre eux, permettant d’assurer aux pays européens une autonomie dans leur capacité à répondre aux cyberattaques (pilier capacitaire) ;
• le développement par le secteur privé, avec l’appui de l’Union européenne et des Etats, de capacités scientifiques, de R&D et industrielles permettant à l’Europe de répondre de façon autonome à ses besoins en matière de technologies clés et de services (pilier technologique).

Contribuer à la sécurité des organisations internationales

Les organisations internationales dont la France est partie constituent un bien commun partagé avec les autres pays membres et sont susceptibles d’être ciblées par des cybermenaces.

La France s’engage activement pour renforcer la sécurité des systèmes d’information des organisations internationales dont elle est partie, en particulier pour assurer la protection des informations et supports classifiés. Elle agit notamment dans le cadre de l’Union européenne, de l’Organisation du Traité de l’Atlantique Nord et de l’Agence spatiale européenne.

Dans cet effort, l’ANSSI est impliquée aux côtés de l’ensemble des acteurs nationaux en tant qu’autorité règlementaire nationale (autorité nationale de sécurité des systèmes d’information, autorité nationale d’agrément cryptographique, autorité nationale TEMPEST, autorité nationale d’homologation de sécurité…). A ce titre :

• elle participe aux processus interministériels de définition des politiques relatives à la protection des informations et supports classifiés des organisations internationales en portant la voix de la France au sein de comités internationaux dédiés ;
• elle assure l’animation nationale et internationale de leur mise en œuvre (secondes évaluations de produits cryptographiques, coordination avec des partenaires internationaux) ;
• elle promeut l’approche et l’expertise française en cybersécurité auprès des équipes de sécurité internes des organisations internationales (partage d’informations, diffusion des référentiels techniques nationaux).

Coopérer avec nos partenaires et élever le niveau général de cybersécurité

Au sein d’un cyberespace de plus en plus vaste et complexe, faire face aux enjeux de la sécurité du numérique nécessite une coopération forte entre tous.

La cybersécurité est un défi nouveau pour les pouvoirs public puisqu’il implique notamment :

• de se maintenir à l’état de l’art de la technologie pour comprendre les menaces et développer des outils et des services de prévention ;
• de maintenir des capacités opérationnelles mobilisables à tout instant pour répondre à des attaques par nature transnationales ;
• de définir et de mettre en œuvre de nouveaux outils de régulation à l’échelle nationale, européenne et internationale pour répondre à ces nouvelles menaces.

Face à de tels enjeux en évolution constante, les moyens importants engagés par l’Etat au sein de l’ANSSI doivent être soutenus par une stratégie de coopération internationale volontariste. L’ANSSI développe donc des échanges à l’international sur tous les continents pour démultiplier ses capacités à faire face à ce défi :

• Partages de connaissances sur les techniques de pointe ;
• Réponse opérationnelle conjointe à des incidents ;
• Partage de connaissances sur la menace.
• Soutien aux événements internationaux de grande ampleur comme les Jeux Olympiques et Paralympiques.

Bâtir la paix et la sécurité internationale du cyberespace

La multiplication des comportements offensifs utilisant des moyens informatiques (attaques à finalité d’espionnage, lucrative ou de déstabilisation) par divers acteurs (liés à des Etats, hacktivistes, cybercriminels) font peser des menaces exponentielles sur la stabilité internationale. L’ANSSI travaille en étroite coordination avec le ministère de l’Europe et des Affaires étrangères (MEAE) et le ministère des Armées, afin de mobiliser les outils classiques que sont le droit international et la diplomatie afin de faire face à ces nouveaux enjeux.

Attachée à la préservation de la paix et de la sécurité internationale dans le cyberespace, l’ANSSI promeut en particulier :

• une approche du cyberespace qui soit centrée sur le droit international et vise à limiter le risque d’escalade non contrôlée voire de conflits avec une démarche autour de trois axes :
  • La prévention : règles, normes et mesures pour garantir le comportement responsable des Etats dans le cyberespace afin d’encourager l’adoption par les Etats d’un comportement prévisible et transparent et   de prévenir la survenue de différends dans le cyberespace ;
  • La coopération : dans le un but de faciliter la résolution pacifique des différends ;
  • La stabilité : respect du principe de « diligence requise » qui contribue à l’ambition française d’œuvrer à la pacification et stabilisation du cyberespace ;
• l’interdiction des activités offensives par des acteurs non-étatiques, notamment privés, dans le cyberespace, dans le cadre de l’Appel de Paris pour la confiance et la sécurité dans le cyberespace (2018) et du processus de Pall Mall (2024).

Retrouvez tous les travaux en cours tels que les certifications et les référentiels présentés au niveau national et européen.

Au niveau européen avec la certification européénne:

Trois schémas d’évaluation sont en cours de préparation à ce jour :

• Le schéma EUCC, qui reprend les caractéristiques des schémas de certification nationaux rassemblés au sein de l’accord de reconnaissance mutuelle du SOG-IS, couvre la certification de sécurité de produits selon les Critères communs. Ce schéma est en phase d’adoption.
• Le schéma EUCS (EU Cloud Services) est en cours de rédaction et sera un schéma de certification de service pour les solutions d’informatique en nuage (dont SecNumCloud est la base pour le niveau d'assurance Elevé).
• Le schéma EU5G est en cours de rédaction. La deuxième phase qui vient d'être lancée, a notamment pour but de mettre à niveau le schéma NESAS opéré par la GSMA pour le rendre compatible avec les exigences du Cybersecurity Act, et d’implémenter les processus nécessaires pour optimiser la certification des cartes de type eUICC selon le schéma EUCC.

Des informations plus détaillées relatives à la certification européenne et au Cybersecurity Act sont disponibles dans la partie réglementation.

Au niveau national avec la certification CSPN de logiciels libres

L’ANSSI, afin de soutenir les démarches de logiciels open-source et d’éclairer les développeurs qui les utilisent, finance et porte des projets d’évaluation CSPN pour des logiciels libres.

Les logiciels qui ont été évalués et ont obtenu le Visa de sécurité ANSSI pour leur certification CSPN sont visibles dans la liste des produits certifiés . Si vous souhaitez proposer un logiciel en évaluation, veuillez nous contacter .

• En savoir plus sur l'engagement de l'ANSSI pour les logiciels libres 

Vous trouverez sur cette page un ensemble de documents relatifs aux critères d’évaluation et aux usages des certificats.

Il est possible d’effectuer également les formalités relatives à la demande d’agrément et la demande d’évaluation (évaluation, surveillance et maintenance) par voie électronique. Un mèl doit être envoyé à certification[at]ssi.gouv.fr :

• en précisant en objet «[Nouvelle demande d’évaluation]» ou «[Nouvelle demande d’agrément] »
• avec le formulaire électronique correspondant complété
• avec la documentation requise suivant les procédures (cible de sécurité, IAR, etc.).

En cas de nécessité de communiquer des informations sensibles, ces demandes peuvent être transmises par courrier postal ou par voie électronique en chiffrant les documents par un moyen convenu avec l’ANSSI.

La transformation numérique de la société amène à un développement massif des échanges dématérialisés et met en exergue le besoin de confiance dans les services numériques supportant ces échanges. Ces derniers doivent garantir la sécurité des transactions, en assurant notamment la fiabilité des informations transmises, l’innocuité des services utilisés et plus largement le respect de la vie privée des citoyens.

Dans ce contexte, l’identité numérique doit permettre l’identification et l’authentification électroniques sécurisées et favoriser la mise en place d’un marché unique numérique. L’ANSSI accompagne le développement d’une identité numérique de confiance en France. Par ailleurs, l’agence est également en charge de superviser et de qualifier les services de confiance.

Plus précisément :

• L'ANSSI est garante de la sécurité pour le volet « identification électronique » du règlement eIDAS qui supervise l'identification électronique et les services de confiance pour les transactions électroniques au sein de l'Union Européenne.
• L’ANSSI est l’organe de contrôle chargé de qualifier les prestataires de services de confiance conformément au règlement eIDAS et l’organisme responsable de l’établissement, la tenue à jour et la publication de la « liste de confiance ».
• L'ANSSI est garante de la sécurité des moyens d'identification électronique permettant de s'authentifier pour un service en ligne. A ce titre, elle établit le référentiel national d’exigences de sécurité pour les moyens d’identification électronique, au regard duquel elle certifie des moyens d’identification électronique.
• L’ANSSI a élaboré un ensemble de règles et de recommandations rassemblées dans le référentiel PVID (Prestataire de Vérification d’Identité à Distance) qui vise à créer une offre de services robuste et répondant au besoin de confiance.
• L’ANSSI a accompagné le ministère de l’intérieur et l’ANTS dans le cadre du programme « France Identité » pour le développement du moyen d’identité électronique (MIE) au niveau élevé.

Le règlement « eIDAS » n°910/2014 du 23 juillet 2014 a pour ambition d'accroître la confiance dans les transactions électroniques au sein du marché intérieur. Il établit un socle commun pour les interactions électroniques sécurisées entre les citoyens, les entreprises et les autorités publiques.

Le 20 mai 2024, le règlement « eIDAS 2 » n°2024/1183 vient apporter des modifications au précédent règlement de 2014. Toutefois, l’ambition du texte demeure inchangée. 

D’une part, le règlement eIDAS vise à définir des exigences de sécurité harmonisées et à instaurer un mécanisme de reconnaissance mutuelle des moyens d’identification électronique des États membres sur l’ensemble des services en ligne des autres États membres.

D’autre part, il vise à instaurer un cadre juridique pour les services de confiance, en définissant des exigences de sécurité et d'interopérabilité ainsi qu'un schéma de qualification pour certains de ces services.

Pour ses aspects techniques le règlement eIDAS renvoie à des actes d’exécution (listés dans la partie « Références réglementaires »). Dans le cadre du nouveau texte, de nouveaux actes d’exécution doivent être adoptés par la Commission européenne : 

• D’ici le 21 novembre 2024, des nouveaux actes d’exécutions relatifs à l’identification électronique, et plus particulièrement au portefeuille européen d’identité numérique
• D’ici le 21 mai 2025, des nouveaux actes d’exécution relatifs aux services de confiance.

Quelles sont les nouveautés suite à l’entrée en vigueur du nouveau règlement eIDAS ?

Le nouveau règlement eIDAS est entrée en vigueur le 21 mai 2024. L’adoption de ce règlement représente une évolution majeure dans le domaine de l’identité numérique, avec une obligation pour les États membres de délivrer des portefeuilles européens d’identité numérique d’ici fin-2026 permettant notamment aux citoyens de s’identifier électroniquement avec un niveau de garantie élevé. Ce nouveau règlement poursuit également un objectif d’harmonisation croissante des services de confiance. Enfin, le texte prévoit la mise en place d’une nouvelle instance de coopération transverse au niveau européen : l’European Digital Identity Cooperation Group (EDICG).

L’enjeu phare de la révision du règlement eIDAS est donc l’avènement du portefeuille européen d’identité numérique qui devra être obligatoirement mis à disposition des citoyens par chaque Etat-membre.

Le portefeuille européen d’identité numérique est défini par la Commission européenne comme un produit et un service qui permet à l’utilisateur de stocker des données d’identification, des justificatifs et des attributs liés à son identité, de les communiquer aux parties utilisatrices sur demande et de les utiliser pour s’authentifier, en ligne et hors ligne, sur des services publics/privés ; et de créer des signatures et cachets électroniques qualifiés.

Le périmètre des services de confiance est étendu par l’ajout de quatre nouveaux services de confiance pouvant faire l’objet d’une qualification, ce qui porte à 9 leur nombre (cf. annexe 2):

• La délivrance d’attestation électronique d’attribut ;
• L’archivage électronique ;
• Les registres électroniques ; et
• La gestion à distance des dispositifs de création de signature et cachet électronique qualifiés (QSCD).

A qui s’adresse cette réglementation ?

Le règlement concerne les citoyens, les entreprises, les organismes du secteur public et les prestataires de services de confiance établis dans l'Union européenne.

Il couvre en particulier les échanges entre usagers et organismes du secteur public. Les mécanismes de reconnaissance mutuelle des moyens d’identification électronique et des signatures électroniques, s’appliquent ainsi uniquement à ces organismes dans leurs relations avec les usagers.

Quelles sont ses principales dispositions ?

Le règlement eIDAS traite de l’identification électronique (chapitre II), des services de confiance (chapitre III) et des documents électroniques (chapitre IV).

Quel est le rôle de l’ANSSI ?

L'ANSSI intervient à double titre dans l'application du règlement eIDAS :

• Pour le volet "identification électronique", l'ANSSI est garante de la sécurité des moyens d'identification électronique permettant de s'authentifier pour un service en ligne. A ce titre, elle établit le référentiel national précisant les exigences de sécurité applicables à chaque niveau de garantie des moyens d'identification électronique et évalue le bon respect de ces exigences par les organismes fournissant les moyens d’identification électronique.
• Pour le volet "services de confiance", l'ANSSI est l'organe de contrôle français des services de confiance. A ce titre, l'ANSSI assure notamment les missions suivantes : le contrôle a priori et a posteriori des prestataires de services de confiance qualifiés ;  l’attribution et le retrait du statut « qualifié » aux prestataires de services de confiance qui en font la demande ; la conduite d’audits ou la requête d’évaluation de la conformité des prestataires de services de confiance qualifiés par des organismes d’évaluation ; la définition des modalités techniques de respect des exigences du règlement eIDAS ;  et l’analyse des rapports d’évaluation de la conformité.

De plus, l’ANSSI est aussi l'organisme de certification des dispositifs de création de signature ou de cachet électronique qualifiés (QSCD) et l'organisme en charge de l’établissement et de la publication de la liste nationale de confiance recensant les services de confiance qualifiés.

Points de contact

Pour toute information complémentaire, une FAQ est disponible.

L’ordonnance n^o 2005-1516 dite « ordonnance RGS » définit des fonctions de sécurité telles que l’identification électronique, la confidentialité, la signature électronique ou encore l’horodatage électronique.

Le référentiel général de sécurité (RGS), pris en application de cette ordonnance, vise à instaurer la confiance numérique dans les échanges électroniques.

Cette confiance numérique s'appuie sur la sécurisation des systèmes d’information mis en œuvre par les autorités administratives dans leurs relations entre elles et avec les usagers, le RGS contient essentiellement deux grandes familles d’exigences :

• La première obligation et la plus importante est celle de conduire une homologation de sécurité : débutant par une analyse de risques, l’homologation   permet de déterminer les besoins de sécurisation spécifiques au système étudié et d’en déduire les mesures nécessaires et suffisantes pour y répondre ;
• Sur la base de cette analyse de risques et en cas de recours à une ou plusieurs des fonctions de sécurité listées ci-dessus, l’autorité administrative définit le niveau de sécurité à viser et met en œuvre des services conformes aux exigences du RGS. Le recours à un service qualifié au titre du RGS vaut présomption de conformité au RGS pour le niveau de qualification visé.

À qui s’adresse cette réglementation ?

Le RGS s'applique aux autorités administratives, définies dans l'ordonnance et visant :

1. les administrations de l'État ;
2. les collectivités territoriales ;
3. les établissements publics à caractère administratif ;
4. les organismes gérant des régimes de protection sociale ;
5. les autres organismes chargés de la gestion d'un service public administratif ;
6. les commissions de coordination des actions de prévention des expulsions locatives.

Le référentiel général de sécurité s’adresse également aux organismes publics et privés qui fournissent des produits ou des services de confiance. Il détaille les normes et exigences à appliquer ;

Le référentiel s’adresse enfin aux organismes chargés de la qualification des produits et services de confiance. Pour les produits, c’est actuellement l’ANSSI qui délivre les qualifications et pour les services de confiance, c’est un organisme privé accrédité par le COFRAC et habilité par l’ANSSI, LSTI.  

De façon générale, pour tout autre organisme souhaitant organiser la gestion de la sécurisation de ses systèmes d’information et de ses échanges électroniques, le référentiel général de sécurité se présente comme un guide de bonnes pratiques conformes à l’état de l’art.

Quelles sont ses principales dispositions ?

Le référentiel général de sécurité :

1. Fixe une liste d’exigences et de recommandations pour les autorités administratives :
   • Des exigences de suivre une démarche en cinq étapes comprenant une démarche d’homologation de sécurité (chapitres 1 et 2)
   • Des recommandations relatives à la méthodologie, aux procédures et à l’organisation de la sécurité des systèmes d’information (chapitre 7)
   • Les règles et les recommandations de sécurité pour les téléservices nécessitant l’emploi de certificats électroniques (annexe A1)
   • Des règles et recommandations relatives à la cryptographie et à la protection des échanges électroniques (chapitres 3 et 4 et annexes B1 à B3)
2. Fixe une liste d’exigences relatives à la mise en œuvre de service de confiance dans le domaine de l'identification électronique, de la signature ou du cachet électronique, de l’horodatage électronique et de l’audit de sécurité des systèmes d’information (chapitre 5 et annexes A2 à A5 et annexe C)

Pour se mettre en conformité avec ces exigences, les autorités administratives peuvent recourir à des prestataires de services de confiance qualifiés par un organisme de qualification habilité par l'ANSSI.

Quel est le rôle de l’ANSSI ?

L’ANSSI, en co-construction avec la Direction interministérielle du numérique, est responsable du maintien à jour des exigences du référentiel général de sécurité.

L’ANSSI accompagne les autorités administratives dans l’application du RGS en leur fournissant des outils de compréhension des exigences et publie des guides explicatifs ; Elle peut également être contactée via l’adresse rgs@ssi.gouv.fr pour tout besoin de complément d’information.

L’ANSSI habilite les organismes chargés de la qualification des services de confiance.

L'ANSSI qualifie les produits de sécurité

Besoin d'aide pour l'homologation de vos services numériques ?

L'ANSSI vous accompagne avec MonServiceSécurisé,  une solution gratuite, 100% en ligne et collaborative.

• Décrivez votre service, et obtenez une liste de mesures de sécurité personnalisées, à mettre en œuvre.
• Obtenez par la suite votre dossier de décision d'homologation prêt à être signé.

Simplifiez votre mise en conformité et sécurisez vos services rapidement.

Pour aller plus loin

1. Références réglementaires

2. Renvoi aux contenus connexes

Loi n°2004-575 du 21 juin 2004 (LCEN) & Décret 2007-663 du 2 mai 2007

Le contrôle des opérations relatives aux moyens de cryptologie

En France, les moyens de cryptologie sont soumis à une règlementation spécifique.

L’utilisation d’un moyen de cryptologie est libre. Il n’y a aucune démarche à accomplir.

En revanche, la fourniture, l’importation, le transfert intracommunautaire et l’exportation d’un moyen de cryptologie sont soumis, sauf exception, à déclaration ou à demande d’autorisation.

Pour aller plus loin