ANSSI

Visas de sécurité Anssi : un label qui… ne change rien

L’agence nationale pour la sécurité des systèmes d’information vient de remettre ses premiers « visas de sécurité ». Ce label doit aider à valoriser la certification et la qualification à la française. Mais il ne simplifie ni la tâche des fournisseurs, ni celle des acheteurs.

L’heure était aux congratulations, en ce jeudi 21 juin : le directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), Guillaume Poupard, remettait ses 110 premiers « visas de sécurité » en la présence de Mounir Mahjoubi, Secrétaire d’Etat auprès du Premier ministre, en charge du numérique.

Dans un communiqué de presse, Mounir Mahjoubi l’assure : l’objectif de ce label « est d’accompagner les entreprises, en particulier les TPE/PME, les administrations, les collectivité territoriales et les citoyens dans leurs choix de solutions de sécurité ». Guillaume Poupard ne dit pas autre chose : selon lui, ces visas offrent « à tous des repères et des outils indispensables pour agir face au risque numérique ».

Pour faire simple, l’Anssi accorde des visas de sécurité aux produits certifiés selon le standard international des critères communs ou la certification de sécurité de premier niveau (CSPN) propre à l’Agence, ainsi qu’aux produits et services dits qualifiés. Ces derniers sont ainsi reconnus conformes « aux exigences réglementaires, techniques et de sécurité promues par l’Anssi ».

Une complexité à peine voilée

Sur le papier, le visa sécurité recouvre donc, sous un seul label, plusieurs réalités différentes. Et l’habillage est loin d’apporter la moindre simplification, que ce soit pour les acheteurs de produits et solutions de sécurité, ou pour leurs fournisseurs. Car la complexité sous-jacente n’est en rien effacée.

Le catalogue des solutions qualifiées, publié à l’occasion de la remise des premiers visas, en apporte largement la démonstration. L’Anssi y explique ainsi aux utilisateurs quelle certification ou qualification choisir selon que l’activité concernée relève ou pas d’un cadre législatif… dans un graphique étalé sur deux pages. Parce-qu’il faut sûrement bien cela pour s’y retrouver.

Pour les fournisseurs, le graphique tient sur une page et explique l’approche à retenir selon trois cas de figure. Et l’Anssi de promouvoir là ses certifications et qualifications comme « une valeur ajoutée de compétitivité », notamment pour se différencier « en France et à l’international ». Une carotte, peut-on être tenté de penser, pour ceux qui n’auraient a priori que faire d’une qualification qui sert surtout à ouvrir les portes des marchés français réglementés, et en particulier celles des opérateurs d’importance vitale (OIV). Ou bien encore pour ceux qui seraient rebutés par un processus décrit par certains comme plutôt lourd.

Un exercice d’autopromotion

Sur Twitter, certains experts en cybersécurité ne manquent pas d’accueillir la remise des premiers visas de sécurité de l’Anssi avec un certain scepticisme, du fait que ceux-ci ont bien moins vocation à servir leurs heureux titulaires – et leurs clients et prospects – que l’Agence elle-même. Le communiqué de l’Anssi est d’ailleurs très clair sur le sujet : dès sa première phrase, il explique qu’il s’agit là d’une mise à « l’honneur [de] l’excellence française en matière d’évaluation de sécurité ». Plus tôt, en janvier dernier, l’Agence indiquait tout aussi clairement que ses visas visaient à remplir un « objectif de lisibilité et de valorisation de l’expertise française dans son ensemble en matière de cybersécurité et de cyberdéfense ».

En fait, cet exercice d’autopromotion est à replacer dans le contexte des projets européens sur la certification de sécurité. Lors du Forum International de la Cybersécurité, l’Anssi indiquait ainsi « défendre l’adoption d’un cadre européen de certification de sécurité robuste », s’appuyant sur « l’expérience des Etats précurseurs ».

Apparemment rassurée par certaines prises de positions relatives aux projets visant à renforcer l’Agence européenne pour la sécurité des réseaux et de l’information, l’Enisa, l’Anssi semble en fait poursuivre un discret travail de lobbying. Notamment en ce qui concerne la certification.

Pour approfondir sur Réglementations et Souveraineté