Les outils numériques sont nombreux. Mais tous n’offrent pas les mêmes garanties en termes de robustesse et de confiance. Le niveau de sécurité est pourtant un élément essentiel dans le choix de ce type de solution. Si ce n’est le plus important. En effet, la cybermenace est constante, et les entreprises doivent à tout prix protéger leurs systèmes d’information et leurs données. C’est pour cette raison que l’ANSSI (Agence nationale de sécurité des systèmes d’information) accompagne entreprises et administrations dans leurs décisions en qualifiant et en certifiant des solutions de sécurité.
Sécurité des systèmes d’information, fiabilité des services informatiques, transactions électroniques sécurisées, protection des données personnelles… Les certifications dans le numérique permettent à un prestataire de démontrer que ses activités respectent les bonnes pratiques reconnues sur son marché. Affirmer que la sécurité est une priorité n’est plus suffisant. Il faut le prouver notamment grâce à des certifications remises par des organismes tels que l’ANSSI.
« Entre progrès et menace, la confiance numérique est devenue un enjeu stratégique, économique et sociétal de premier plan. La mise en place de solutions adaptées de sécurité des systèmes d’information doit répondre à cette priorité », a déclaré l’ANSSI lors de l’instauration de ses Visas de sécurité.
Certifications ANSSI : choisir les solutions les plus fiables
Le Visa de Sécurité que délivre l’ANSSI permet d’identifier facilement les solutions les plus fiables. Une évaluation est réalisée par des laboratoires agréés. Elle comprend notamment des tests de pénétration poussés et une analyse approfondie pour vérifier la conformité des solutions aux référentiels correspondants. Ce Visa se matérialise selon le contexte, par une certification ou une qualification, valorisable en France et à l’international.
Certification, qualification : quelles différences ?
La certification est définie par l’ANSSI comme l’attestation de la robustesse d’un produit. Elle est basée sur une analyse de conformité et des tests de pénétration réalisés par un évaluateur tiers et sous l’autorité de l’Agence, selon un schéma et un référentiel adaptés aux besoins de sécurité des utilisateurs et tenant compte des évolutions technologiques.
Une certification de l’ANSSI, pour quoi faire ?
La certification n’aura pas la même résonnance, que l’on soit un prestataire ou un utilisateur de la solution. Pour le 1er, la certification permet d’accéder à de nombreux marchés de cybersécurité en France et à l’international. L’utilisateur est assuré que les fonctionnalités certifiées offrent un niveau de sécurité éprouvé, et résistent aux attaques d’un niveau déterminé.
A quoi sert la qualification de l’ANSSI ?
La qualification est la recommandation par l’Etat français de produits ou services de cybersécurité éprouvés par un organisme tel que l’ANSSI. Elle atteste de leur conformité aux exigences réglementaires, techniques et de sécurité promues par cet organisme. Elle apporte une garantie de robustesse du produit et de compétence du prestataire de service, et d’engagement du fournisseur de solutions à respecter des critères de confiance.
L’utilisateur de produits et services qualifiés a l’assurance de choisir des solutions dont le niveau de sécurité a été vérifiés. C’est la garantie de recourir à des solutions recommandées par l’Etat et utilisées par l’administration française, les OIV (Opérateurs d’importance vitale) et les entreprises des secteurs les plus sensibles.
SecNumCloud : une qualification pour les prestataires d’informatique en nuage
Le monde du numérique est en constante évolution. Le cloud fait partie des grandes transformations sur le secteur a connu ces dernières années. Et comme souvent avec l’innovation, il y a un décalage entre son arrivée sur le marché et la création de règles pour l’encadrer. Le cloud se démocratise au sein des entreprises. Il était donc nécessaire que cette technologie soit porteuse de garanties fortes, notamment en matière de sécurité. C’est désormais chose faites avec la naissance de SecNumCloud, dont l’objectif est de distinguer les cloud de confiance.
L’ANSSI est partie d’un constat simple pour proposer cette qualification. Il manquait un référentiel d’exigences applicables aux prestataires d’informatique en nuage. Cette qualification est la nouvelle référence pour les prestataires de confiance. L’objectif de SecNumCloud est de promouvoir, enrichir et améliorer l’offre de prestataires de cloud. La qualification s’adresse aux entités publiques et privées souhaitant externaliser, auprès de prestataires de confiance, l’hébergement de leurs données, applications et systèmes d’information.
Oodrive, 1er acteur qualifié SecNumCloud
En janvier 2019, Oodrive est devenu le premier acteur à obtenir le Visa de sécurité ANSSI via la qualification SecNumCloud pour l’ensemble de ses offres de cloud privé. En s’engageant dans une démarche d’obtention du Visa, le groupe s’est donné les moyens de disposer « d’une réelle valeur ajoutée concurrentielle, gage de compétitivité » pour lui-même et de sécurité pour ses clients.
Avoir recours à une solution qualifiée « participe à l’élévation du niveau de sécurité global des administrations, des entreprises et des citoyens face au risque numérique », a indiqué l’ANSSI. Lors de la présentation de son bilan annuel, l’agence a précisé que les certifications et qualifications qu’elle délivre ne sont pas de « simples labels de complaisance ». Guillaume Poupard, directeur général de l’ANSSI, a précisé qu’avec eux, « l’Etat s’engage sur la qualité des prestataires ».
Le groupe propose aujourd’hui des solutions de private cloud qualifiées SecNumCloud. Oodrive est désormais en mesure de proposer à ses clients, en particulier les OIV (opérateurs d’importance vitale) ou les organismes étatiques, des solutions qualifiées leur permettant de répondre aux exigences de sécurité recommandées par l’ANSSI.
