Le blog de la digitalisation des PME  

4 min

Mis à jour le 6 Févr, 2023

Publié le 6 Juil, 2022

Qu’est-ce que le Visa de sécurité délivré par l’ANSSI ?

Matthieu Duault

Matthieu Duault

Brand Manager @Yousign

Illustration : Léa Coiffey

Sommaire

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a distribué, à compter du 21 juin 2018, ses premiers Visas de sécurité aux entreprises françaises éligibles. Cette initiative mise en place par l’ANSSI a pour objectif d‘identifier et valoriser les entreprises françaises de différents secteurs qui ont su mettre en place des solutions de sécurité numérique fiables et reconnues par l’agence au travers de ses processus de certification et de qualification.

Pour rappel, l’ANSSI est l’agence de l’Etat français chargée d’assurer la sécurité et la défense des systèmes d’information de l’Etat et des sociétés classées comme OIV (Opérateurs d’Importance Vitale). Elle est ainsi directement rattachée au Secrétariat Général de la Défense et de la Sécurité Nationale.

Elle a développé dans le cadre de ses missions tout un processus de certification et de qualification des entreprises françaises en matière de cybersécurité, permettant ainsi de s’assurer de la solidité des acteurs de l’écosystème numérique français.

Qu’est ce que le Visa de sécurité ?

L’un des enjeux stratégique et économique majeur des années à venir réside dans la sécurité des systèmes d’information et la protection des données. Le RGPD a permis d’y mettre un premier cadre au niveau européen concernant la gestion des données personnelles.

Face à la multiplication des risques numériques, l’ANSSI a jugé essentiel de mettre en place des processus de tests et contrôles qui permettent d’identifier les entreprises de cybersécurité particulièrement fiables. Ces tests sont réalisés par des laboratoires agréés, suivant une méthodologie rigoureuse et éprouvée.

Le Visa de sécurité est donc, concrètement, une marque mise en place par l’ANSSI et utilisable par tout fournisseur de produit et prestataire de service qui détient déjà une certification ou qualification délivrée par l’agence.

Les objectifs du Visa de sécurité

Le Visa de sécurité de l’ANSSI permet aux entreprises certifiées et/ou qualifiées de communiquer sur leurs compétences en matière de sécurité des systèmes d’information qu’elles ont mis en place. Le Visa est un gage de crédibilité majeur et par conséquent un atout fort en terme de compétitivité pour ces sociétés. Face aux acteurs français et internationaux, ces entreprises disposent donc d’un avantage concurrentiel certain sur lequel elles ont la possibilité de communiquer.

Côté utilisateurs, il permet d’identifier facilement les acteurs français fournissant des solutions solides en terme de cybersécurité. Ce visa permet donc aux entreprises de choisir leurs prestataires en fonction de critères objectifs de robustesse et de sécurité, garantis par l’agence gouvernementale de référence en ce domaine.

Objectifs visa de sécurité ANSSI
Objectifs du visa de sécurité délivré par l'ANSSI

Comment obtenir la qualification délivrée par l'ANSSI ?

La qualification représente un niveau supplémentaire dans la reconnaissance d’un produit ou service de cybersécurité.

Les produits et services certifiés ont été éprouvés par l’ANSSI. Les produits et services qualifiés ont été éprouvés par l’ANSSI et son recommandés par l’Etat. Yousign, expert de la signature électronique, fait ainsi partie des prestataires de services qualifiés.

Pour les utilisateurs, la qualification leur apporte la garantie que les solutions qu’ils utilisent sont non seulement recommandées par l’Etat mais également utilisées par l’administration française, les “Opérateurs d’Importance Vitale” et les entreprises de secteurs sensibles.

Côté fournisseurs, cette qualification leur permet d’accéder à des marchés réglementés au niveau français et européen. Ainsi les appels d’offre à marché publics peuvent désormais passer par des signatures électroniques reposant sur un certificat dit “qualifié” (Arrêté du 12 avril 2018 relatif à la signature électronique dans la commande publique).

Yousign, en sa qualité de solution de signature électronique a reçu son Visa de sécurité le 21 juin 2018 à l’occasion de la remise des premiers Visas par l’ANSSI. La société devient donc l’un des premiers acteurs français à bénéficier de cette reconnaissance de l’Etat en qualité de prestataire de service qualifié.

Comment trouver votre prestataire certifié par l’ANSSI ?

L’ANSSI a mis en place différents outils pour accompagner les entreprises dans leur recherche de prestataires certifiés ou qualifiés et mieux comprendre les processus de qualification et de certification mis en place.

Quelle est la différence entre la certification et la qualification ANSSI ?

Il existe plusieurs types de reconnaissance vis à vis de l'ANSSI. Nous allons en dénouer deux dans cet article, qui sont les plus communes et qui peuvent être parfois sujettes à confusion. Dès lors, quelle est la différence entre certification et qualification ANSSI ?

Certification ANSSI

La certification ANSSI se concentre avant tout sur la robustesse du produit qui vous est certifié. L'éditeur de logiciel définit une Target of evaluation, aussi appelée "cible de sécurité". En gros, c'est un descriptif détaillant les fonctions de sécurité qui sont présentées, ainsi que leur contexte d'utilisation. Il existe plusieurs niveau de certification:

Certification critères communs

Les critères communs (ou CC) définissent un ensemble de normes et de régulations internationalement reconnu et dont l'objectif est d'évaluer de façon impartiale la sécurité des systèmes et des logiciels informatiques. Grâce à ce cadre de sécurité, les éditeurs de logiciels utilisent des profils de protection pour définir les exigences en matière de sécurité. ils pourront ainsi vérifier que les produits vendus sont conformes à ces normes établies.

Une fois l'audit de sécurité conduit par un laboratoire indépendant accrédité "Centre d'évaluation de la sécurité des technologies de l'information" ou CESTI, une certification au niveau EAL3+, EAL4+, etc. est donnée. Ce niveau de sécurité certifie donc la robustesse via à vis d'une attaque donnée.

Certification de Sécurité de Premier Niveau

La certification de Sécurité de Premier Niveau (ou CSPN) est aussi appelé visa de sécurité de l'ANSSI, est donc défini et expliqué ci-dessus. Ce Visa de Sécurité constitue une alternative aux évaluations Critères Communs, notamment quand le niveau de confiance visé est moins élevé. Cette certification s'appuie sur des méthodologies échafaudées par l'ANSSI elle-même.

Qualification ANSSI

La qualification ANSSI constitue dans ses grandes lignes une recommandation par l'ANSSI. La qualification ANSSI se porte garante de la sécurité lié au produit et l'éditeur.
Les processus pour obtenir la qualification sont nécessairement plus poussés, avec par exemple un audit possible du code source du produit qui doit être évalué. La qualification ANSSI est reconnue en France et peut constituer une excellente transition vers des labels de sécurité au niveau européen.

Le catalogue des solutions qualifiées

Téléchargeable gratuitement sur le site de l’ANSSI ce catalogue référence l’ensemble des fournisseurs de produits et prestataires de services qualifiés recommandés par l’Etat et donc titulaires du Visa de sécurité. Il permet de trouver simplement les société recommandées par l’Etat en fonction du type de qualification dont elles disposent.

Le catalogue en version papier sera mis à jour et édité chaque année, la version numérique sera quant à elle mise à jour trimestriellement.

Les brochures sur la certification de sécurité et la qualification

Ces deux brochures également disponibles sur le site de l’ANSSI ont pour pour objectif d’expliquer les processus de certification de sécurité des produits et de qualification des solutions. Elles vous permettront de mieux comprendre les tests et contrôles mis en place par les centre agréés pour s’assurer de la sécurité des systèmes d’information des sociétés éligibles.

Ces brochure permettront également aux sociétés souhaitant obtenir le Visa de sécurité de s’informer sur les procédures à suivre pour être certifiées, voire qualifiées.

L’application mobile “Visa de sécurité ANSSI”

Actuellement disponible sur Google Play et prochainement sur l’Apple Store, cette application permet de manière simple et intuitive de retrouver les informations disponibles dans les brochures et de se renseigner de façon précise sur le Visa de sécurité, ce qu’il implique et comment il est délivré.

Les utilisateurs pourront ainsi facilement trouver le prestataire qualifié qui répond à leurs besoins. Les fournisseurs de produits et prestataires de service de sécurité pourront de leur côté se renseigner sur les conditions d’obtention du Visa et sur le type de Visa qui concerne leur activité.

Testez Yousign gratuitement
pendant 14 jours

Comme plus de 15 000 PME, simplifiez dès aujourd'hui la signature de tous vos documents

green arrow
cta illustration

Tester Yousign gratuitement pendant 14 jours