Quelle différence entre certification et homologation en cybersécurité ?

L’ANSSI est l’Agence Nationale de la Sécurité des Systèmes d’Information. Ce service français créé en 2009 propose deux certifications pour les produits constituant des systèmes d’information :

• La certification critères communs (CC) qui correspond au plus haut niveau de sécurité. L’ANSSI a défini 7 niveaux de risque allant de 1 à 7 (1 étant le plus faible et 7 étant le plus élevé). La certification CC montre que le produit certifié est capable de gérer l’ensemble des niveaux de sécurité jusqu’au niveau 7. Elle est internationalement reconnue.
• La certification de sécurité de premier niveau (CSPN). Elle couvre les risques de 1 à 4. Elle est donc moins élevée que la certification CC. Cette certification franco-française est à destination des entreprises évoluant sur le marché français.

Pour les curieux qui veulent gagner du temps, regardez notre vidéo de 2 minutes « Cybersécurité : certification vs homologation ».

(vidéo mise à jour le 28/10/2021)

Le premier élément que l’on demande pour obtenir la certification CSPN est la cible de sécurité (Target of Evaluation ou ToE). C’est un document qui présente le périmètre pour lequel l’éditeur du logiciel veut obtenir la certification. C’est-à-dire que l’éditeur définit le périmètre pour lequel son produit doit être testé et tous les éléments hors de ce périmètre ne permettent pas de bénéficier de la certification du produit.

Il existe deux phases dans les éléments de la certification :

• La première phase est une analyse de conformité où l’on définit la cible de sécurité. L’ANSSI vérifie ensuite que l’implémentation des fonctions de sécurité dans le produit est conforme à la cible de sécurité demandée pour la certification.
• La deuxième phase est l’analyse de vulnérabilité: l’objectif est de vérifier s’il est possible de contourner ou d’attaquer le produit pour contourner les fonctions de sécurité qui ont été implémentées.

Une fois passé ces deux phases et les résultats conformes, on obtient la certification CSPN. La certification atteste donc que le produit est robuste uniquement pour le périmètre dans lequel il a été testé.

Pour répondre à la question, repartons du processus de certification : celle-ci est délivrée pour un périmètre donné, cela signifie que si les attentes ou les besoins fonctionnels de la supervision sont hors de ce périmètre, la certification n’est pas applicable. Un SCADA certifié CSPN peut donc ne pas répondre à l’ensemble des critères fonctionnels définis par un cahier des charges d’une installation ou des évolutions à venir. La certification CSPN est un élément important mais pas suffisant pour garantir la conformité aux exigences de sécurité d’un CCTP. Il faut étudier attentivement le périmètre couvert par la certification et se poser les bonnes questions :

Produit évalué: la version du produit qui sera déployée est-elle bien celle qui a été certifiée ?

Est-ce que le projet rentre dans le périmètre de la certification? Il faut étudier le cahier des charges pour vérifier que l’ensemble des éléments demandés sont couverts par la certification. Par exemple, les éléments suivants font-ils partie du périmètre de la certification ?

• Les clients web et mobiles,
• L’acquisition des données auprès des automates,
• Le poste de développement et de maintenance de l’application,
• L’accès à la base de données,
• L’export des données,
• Etc.

La certification concerne un produit tandis que l’homologation couvre une installation complète.

La certification n’est pas une obligation légale. C’est une démarche volontaire de l’éditeur du produit. Elle permet d’attester que le produit est robuste sur un périmètre donné. Par ailleurs, il n’y a pas de SCADA à ce jour certifié sur un périmètre suffisamment large pour répondre aux cas d’usage fréquemment rencontrés dans l’industrie, notamment englobant les problématiques de collecte multi protocoles, d’échanges de données avec des systèmes d’information tiers et l’utilisation de clients full web et mobile.

En revanche, l’homologation de l’installation peut être obligatoire, soit pour des raisons d’assurance, soit parce que le site est un OIV (Organisme d’Importance Vitale). Pour obtenir cette homologation, il ne faut pas seulement se concentrer sur le SCADA, mais il faut travailler sur l’ensemble de l’architecture. Une installation peut être homologuée sans qu’aucun des systèmes d’information qui la compose ne dispose de certification CSPN.

Si vous êtes un OIV et donc votre système est un SIIV (Système d’Information d’Importance Vitale), vous devez procéder à l’homologation soit avec vos équipes en interne soit en vous appuyant sur un Prestataires d’Audit de la Sécurité des Systèmes d’Information (PASSI). Vous êtes susceptible d’être audité par les autorités.

IMPORTANT

Il faut retenir que l’utilisation d’un produit logiciel certifié CSPN ne garantit pas l’homologation de l’installation ; elle peut néanmoins la faciliter si le périmètre du projet est strictement identique au périmètre des fonctionnalités certifiées. Que l’on soit OIV ou non, l’homologation de sécurité d’une installation et la certification d’un produit logiciel sont deux choses différentes. C’est l’homologation de l’installation qui peut garantir la conformité aux exigences de sécurité d’un cahier des charges.

OIV : Opérateur d’Importance Vitale est une organisation identifiée par l’Etat comme ayant des activités indispensables à la survie de la nation  ou dangereuses pour la population.

PASSI : Prestataires d’Audit de la Sécurité des Systèmes d’Information

SSIV : Système d’Information d’Importance Vitale chez un OIV.

Certification : Atteste de la robustesse d’un produit, basée sur une analyse de la conformité et des tests de pénétration réalisés par un évaluateur tiers sous l’autorité de l’ANSSI

Homologation de sécurité : Délivrée par une autorité d’homologation pour un système d’information avant sa mise en service opérationnelle. Elle permet d’identifier, d’atteindre puis de maintenir un niveau de risque de sécurité acceptable pour le système d’information considéré.

Pour en savoir plus, consultez le document « La certification de sécurité de produit » édité par l’ANSSI.