Ouvrir le menu principal

Certification de sécurité de premier niveau

La CSPN est une certification de sécurité décernée par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) à une solution logicielle.

La Certification de Sécurité de Premier Niveau (CSPN) est une des certifications délivrée par l'Agence nationale de la sécurité des systèmes d'information pour des produits des technologies de l'information. La CSPN, mise en place par l’ANSSI en 2008, permet d’attester que le produit (logiciel, système d'exploitation, appliance, matériel...) a subi avec succès une évaluation de sécurité par un centre d’évaluation (CESTI) agréé par l’ANSSI.

La CSPN consiste en des tests en « boîte noire » effectués en temps et délais contraints. La CSPN est une alternative aux évaluations Critères Communs, dont le coût et la durée peuvent être un obstacle, et lorsque le niveau de confiance visé est moins élevé. Cette certification s’appuie sur des critères, une méthodologie et un processus élaborés par l’ANSSI.

Ne pas confondre la CSPN avec la Sec Num Académie qui est un MOOC gratuit destiné à sensbiliser le grand-public aux bases de la sécurité[1].

Sommaire

Produits certifiésModifier

Les produits sont répartis en plusieurs catégories[2]

La certification CSPN a notamment été attribuée[3] à Blancco (effacement de données), TrueCrypt (stockage sécurisé), l'hyperviseur TRANGO (système d'exploitation et de virtualisation), Bro (détection d'intrusions), NEDAP AEOS (système de contrôle d'accès), Dropbear (communication sécurisée), WAPT (Le déploiement de logiciels) ou TEOPAD (environnement d'exécution sécurisé).

La certificationModifier

 
Visa de Sécurité ANSSI

L'ANSSI précise[4] qu'elle délivre des certifications à l’état de l’art réalisées en fonction d’une cible de sécurité et d’un niveau de sécurité visé. En particulier, l'obtention d'une certification pour un produit se fait pour une version donnée et ne s'applique pas aux versions suivantes ou aux éventuelles mises à jour .

Les produits certifiés bénéficient d'un Visa de sécurité[5] et sont référencés dans un catalogue[6] édité chaque année par l'ANSSI.

ProcédureModifier

La procédure est régie par le Décret no 2002-535 du 18 avril 2002[7]. La première étape est le dépôt d'une demande de certification auprès d'un centre agréé.

Centres agréésModifier

L'évaluation des demandes est confiée à un centre d'évaluation de la sécurité des technologies de l'information (CESTI) agréé.Thales, Amossys[8] , le Leti[9], Synacktiv[8] et Sogeti font ainsi partie des centres d'évaluation.

ObtentionModifier

En se basant notamment sur le rapport technique d'évaluation du CESTI, l'ANSSI délivre éventuellement le certificat et rédige un rapport de certification publié sur son site.

RéférencesModifier