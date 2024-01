Tixeo : La crédibilité d’un certificat de sécurité

janvier 2024 par Tixeo

Afin de déterminer leur fiabilité et d’être reconnues comme un élément majeur sur leur marché, les solutions informatiques peuvent obtenir une certification de sécurité. Cette dernière évalue le produit selon des normes de cybersécurité spécifiques qui sont relatives au secteur et aux réglementations en vigueur au sein de la nation. Afin d’évaluer la puissance cyber d’une nation sur le plan international, plusieurs critères existent.

Le National Cyber Power Index (NCPI)

Conçu par le Harvard Belfer Center, le NCPI est un index de puissance cyber des nations qui se réfère sur 29 indicateurs basés sur des modèles de données qualitatifs et quantitatifs et répartis en deux catégories.

Dans un premier temps, le NCPI se base sur les indicateurs d’intention qui reflètent la façon dont un pays envisage d’utiliser ses capacités cyber en fonction de ses objectifs stratégiques et politiques. Dans un second temps, le NCPI étudie les indicateurs de capacité sur les aptitudes techniques et les ressources d’un pays sur le plan cyber, indépendamment de la manière dont il a choisi de les utiliser. Selon le rapport NCPI de 2022, la France se positionne à la 9ème place du classement général et à la 4ème position parmi les nations les plus impliquées dans l’objectif de défense.

L’évaluation de l’Internal Institute for Strategics Studies (IISS)

L’autre grand index d’évaluation est l’IISS qui a développé une méthodologie pour déterminer les capacités cyber d’une nation et la manière dont celles-ci contribuent à sa puissance. L’index classe les capacités à travers 7 catégories bien distinctes qui sont :

1. Stratégie et doctrine ;

2. Gouvernance, commandement et contrôle ;

3. Capacité essentielle de cyberespionnage ;

4. Habilitation et dépendance à l’égard du cyberespace ;

5. Cybersécurité et résilience ;

6. Leadership mondial dans les affaires du cyberespace ;

7. Capacité de cybersécurité offensive ;

Selon le dernier rapport IISS 2021, la France est « à bien des égards le premier pays de l’UE en matière de cybersécurité et de planification de la résilience. »

Le rapport souligne également la transparence de l’Hexagone en matière de cybersécurité. A l’inverse de la National Security Office (NSA) aux Etats-Unis ou du Government Communications Headquarters (GCHQ) au Royaume-Uni qui participent aux services de renseignement, l’ANSSI se consacre exclusivement aux opérations défensives.

La certification nationale

Aujourd’hui encore, l’unique standard international pour l’évaluation de la sécurité des produits et systèmes informatiques est le Common Criteria (CC) qui s’articule autour de 7 niveaux de sécurité plus ou moins élevés. Mais le trop grand niveau d’exigence des critères de la CC suppose la mise en place de moyens importants, ce qui ne laisse que les grands groupes comme uniques prétendants à la certification.

Pour faciliter la démarche de certification, notamment pour les TPE et PME, la France et l’Allemagne ont créé leurs propres certifications nationaux basés sur l’évaluation technique des produits. Le CSPN (Certification de Sécurité de Premier Niveau) délivré par l’ANSSI en France, et le Beschleunigte Sicherheitszertifizierung (BSZ), délivré par le BSI en Allemagne

Mais l’expérience d’une nation dans la délivrance d’une certification compte également dans la crédibilité de son schéma de certification et l’intérêt d’une nation pour la cybersécurité est évaluée sur le nombre de produits certifiés. Et selon le rapport 2022 de Common Criteria, la France a délivré 74 certifications.