Cybersécurité : les certifications et labels bon marché qui rassurent les clients
Loin d'être de simples habillages marketing, certaines certifications et labels de cybersécurité permettent d'octroyer à des produits et services un avantage compétitif certain. Toutefois, il est important de connaitre la différence entre les deux. La certification est attribuée par un organisme indépendant accrédité et repose sur un référentiel normatif précis. Sa procédure est plus encadrée et normalisée que celle du label qui est délivré par un acteur ou une autorité de l'écosystème cyber. Le label repose donc sur des critères plus souples que ceux de la certification. Néanmoins, cela ne l'empêche pas d'être aussi un atout pour les outils et services qui en bénéficient s'il est attribué par un acteur reconnu dans l'écosystème cyber.
Les certifications accessibles aux petites et moyennes entreprises (PME) concernent essentiellement les produits. En effet, les services font surtout l'objet de qualifications agrémentées par l'Agence nationale de la sécurité des systèmes d'information (Anssi), explique Roland Atoui, directeur général de Red Alert Labs, laboratoire de cybersécurité. Celles-ci, souvent chères, permettent au fournisseur de prouver le haut niveau de sécurité de ses services destinés aux administrations et opérateurs d'importance vitale (audit, tests d'intrusion, gestion des risques, administration sécurisée, etc.). Toutefois, comme on le verra, des labels très accessibles existent pour les services.
| Certification / Label | Prix | Durée de l'évaluation | Durée de la validité | Produits et/ou services | Ouverture sur le marché européen |
|---|---|---|---|---|---|
| CSPN | 40 000 à 50 000 € | 10 à 12 mois | 3 ans | Produits | Oui (Allemagne) |
| EUCC (niveau substantiel) | ≈ 20 000 € (en France) | ≈ 6 mois | 5 ans | Produits | Oui (UE) |
| Certificat propre au Cesti | ≈ 10 000 € | deux semaines | 1 an | Produits | Non |
| Label France Cybersécurité | 1 250 € | quelques semaines | 1 an | Produits et services | Non |
| Label ExpertCyber | 800 € | quelques semaines | 2 ans | Services | Non |
Les certifications bon marché pour les produits
Il existe trois types de certifications peu coûteuses et procurant un avantage compétitif aux produits : la certification de sécurité de premier niveau (CSPN), le niveau substantiel des critères communs de l'Union européenne (EUCC) et les propres certificats de laboratoires réputés et qualifiés par l'Anssi.
La CSPN est délivrée par l'Anssi et concerne un vaste éventail de produits éligibles comme les pare-feu, les anti-virus, les messageries sécurisées, les logiciels embarqués, etc. Pour l'obtenir, le commanditaire doit d'abord conclure un contrat avec un Centre d'évaluation de la sécurité des technologies de l'information (Cesti) agréé par l'Anssi (Amossys, Oppida, Lexfo, Synacktiv, Thales, etc.). En effet, c'est ce Cesti qui est chargé de mener les tests de sécurité. Ensuite, le commanditaire doit soumettre un dossier de demande de certification à l'Anssi comprenant entre autres le périmètre fonctionnel à certifier, la cible de sécurité ainsi que la documentation technique du produit. Si sa demande est acceptée, alors l'Anssi autorise le Cesti à évaluer le produit. Cette évaluation est composée de tests de vulnérabilité en boîte blanche et en boîte noire. Elle aboutit à un rapport technique d'évaluation (ETR) transmis à l'Anssi qui décide ou non d'attribuer au produit le certificat CSPN. Puis, si le certificat est attribué, l'Anssi le publie sur son site Internet, ce qui renforce le marketing du produit et lui donne une visibilité officielle.
Selon Antoine Hautin, directeur exécutif du Cesti Amossys, le processus d'obtention du certificat CSPN, valable trois ans, dure en général entre 10 et 12 mois. Le coût de l'évaluation varie de 40 000 à 50 000 euros. En outre, le schéma CSPN est reconnu par les autorités allemandes depuis mars 2022. Toutefois, Antoine Hautin prévient que l'évaluation est effectuée "en mode tunnel". Et pour cause, l'Anssi ne donne aucune recommandation jusqu'à ce qu'elle réceptionne l'ETR. "C'est pourquoi il faut choisir un bon Cesti pour bien se préparer à l'évaluation en amont et déployer une démarche security by design dès la création du produit", ajoute le directeur exécutif d'Amossys.
De son côté, l'EUCC, entré en vigueur en février 2024, est destiné à de nombreux produits de technologie de l'information comme des cartes à puce, des dispositifs d'authentification ou des logiciels de sécurité. Ce nouveau schéma de l'Union européenne a permis la création d'un niveau dit substantiel de critères communs (niveaux un et deux). Celui-ci est accessible aux PME car il permet des évaluations plus courtes et à des prix très abordables. Pour y accéder, le commanditaire doit choisir un organisme d'évaluation de la conformité (CAB) accrédité par l'autorité nationale du pays dans lequel il se situe. En France, cette autorité est l'Anssi qui a notamment habilité le Cesti de Serma safety & security. Ensuite, tout comme pour la CSPN, le commanditaire français doit soumettre un dossier de demande de certification à l'Anssi comprenant la définition du périmètre du produit à évaluer, la documentation technique ainsi que la cible de sécurité. L'évaluation se compose entre autres d'une analyse de la conformité au regard des critères communs ainsi que de tests fonctionnels et de pénétration. Elle aboutit à un ETR transmis à l'Anssi qui décide ou pas de délivrer le certificat EUCC pour le produit. L'Anssi rend public le certificat sur son site.
Le processus d'obtention d'un certificat EUCC de niveau substantiel dure environ six mois mois selon Antoine Hautin. Il est valable cinq ans. De plus, le coût de l'évaluation effectuée en France est d'environ 20 000 euros pour les produits connectés selon le directeur exécutif d'Amossys. Toutefois, même s'il est français, le commanditaire peut faire évaluer son produit par un CAB moins cher situé dans un autre pays de l'UE. Enfin, contrairement à la CSPN, l'évaluation fait l'objet d'un dialogue continu entre le commanditaire, l'organisme évaluateur et l'autorité certifiante. Cela permet au commanditaire de procéder à des corrections pendant l'évaluation. Toutefois, cela allonge souvent la durée de l'évaluation.
Malgré ces prix attractifs, il arrive que certaines PME ne soient pas assez matures pour pouvoir se lancer dans de tels processus. Cela a été le cas de Samuel Sarrazin, co-fondateur de Piter solutions, une start-up créée il y a moins de trois ans et composée de 17 salariés. Il a donc choisi de faire certifier ses logiciels seulement par le Cesti Amossys. Celui-ci a évalué le logiciel de Piter en deux semaines en procédant à des pentests d'intrusion. Après avoir conclu que le logiciel présentait un niveau de cybersécurité élevé, le Cesti a produit un "rapport d'audit" valable un an. Depuis, Samuel Sarrazin le renouvelle chaque année. C'est pourquoi il le compare à un "contrôle technique" qu'il présente à tous ses clients. Coutant moins de 10 000 euros, ce rapport lui a permis de vendre son logiciel à des clients du CAC 40 assure-t-il. "Sans cette certification, nous ne serions pas au niveau de crédibilité que l'on a désormais atteint. Cette certification est un accélérateur d'activité. Désormais, nous réfléchissons à obtenir le certificat EUCC car un client souhaite déployer nos solutions dans d'autres pays européens", précise Samuel Sarrazin.
Les labels bon marché pour les produits et services
Il existe d'autres schémas encore moins chers et plus rapides à obtenir : le label France Cybersécurité et le label ExpertCyber. Le premier atteste de la qualité et de la souveraineté numérique de produits et services de cybersécurité conçus en France. Ceux-ci peuvent être des produits matériels et logiciels, des services managés, du conseil, de l'ingénierie et tout autre service en cybersécurité. Attribué par des représentants de l'Etat (Anssi, Direction générale de l'armement, etc.), de l'industrie (Alliance pour la confiance numérique, Hexatrust) et d'utilisateurs (Club informatique des grandes entreprises françaises, Club des experts de la sécurité de l'information et du numérique, etc.), sa procédure d'obtention est rapide (quelques semaines). L'évaluation consiste en une analyse d'un dossier comprenant entre autres une fiche détaillée de l'offre à labelliser. Pour une PME ou une micro-entreprise, son coût est de 1 250 euros. Valide un an, le renouvellement de ce label coûte seulement 750 euros.
De son côté, le label ExpertCyber permet de valoriser uniquement des entreprises qui fournissent des services de cybersécurité comme des prestations d'installation, de maintenance, d'assistance en cas d'incident ou de conseil et d'expertise. Développé par cybermalveillance.gouv.fr, il est attribué à la suite d'une évaluation composée notamment d'un test de connaissances techniques. Sont aussi étudiés des documents fournis par l'entreprise comme les CV des membres de son équipe technique ou encore sa politique de protection des données personnelles. Si les critères sont remplis, le label est délivré pour deux ans. Le coût de sa procédure d'obtention, qui dure quelques semaines, n'est que de 800 euros.