De nouvelles solutions éditées par des éditeurs de logiciels sont labellisées par l’ANSSI (Agence nationale pour la sécurité des systèmes d’information). Ces certifications, désormais accessibles pour le cloud, permettent d’identifier les fournisseurs de services s’inscrivant dans une logique de cloud public souverain. Le tout en conservant un niveau de sécurité important.
Lors du dernier Forum International de la Cybersécurité, Guillaume Poupard, directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), a annoncé que de nouveaux services logiciels ont été labellisés. Baptisée SecNumCloud, cette certification permet de garantir aux entreprises qui l’utilise un niveau de sécurité suffisant. Elles peuvent ainsi se prémunir au mieux des nouvelles cybermenaces.
L’agence s’est en effet lancée dans une stratégie visant à qualifier puis certifier des solutions tierces. L’Anssi s’est en premier lieu intéressée aux prestataires d’audits de sécurité et de détection d’incidents (PassI). Puis elle s’est attachée à labelliser des outils de réponse à ces mêmes problématiques. Enfin, après s’être penchée sur les services sécurisés d’administration et de maintenance, elle s’attaque au cloud.
Dans ce cadre, la première certification SecNumCloud est allée à Oodrive. Leurs solutions respectent à présent les exigences de niveau « essentiel » de l’agence. Ce véritable visa recouvre l’ensemble des offres de cloud privé de l’éditeur français. Il vient renforcer les notions de sécurité et de souveraineté européenne des données.
Oodrive, en pointe
Dans une note, François-Xavier Vincent, CISO d’Oodrive explique : « Nous sommes très heureux d’être le premier acteur à recevoir le Visa de sécurité ANSSI pour la qualification SecNumCloud. Cette distinction confirme entre autres le savoir-faire d’Oodrive en matière de sécurisation des données. C’est un véritable élément de confiance, différenciateur vis-à-vis de la concurrence. »
Pour parvenir à cette certification, l’éditeur précise s’être basé sur un référentiel de sécurité reposant sur la norme ISO 27001, fruit d’une co-construction de l’Anssi avec les acteurs du cloud, la Commission nationale de l’informatique et des libertés (CNIL) ainsi que du RGPD en vigueur depuis mai dernier. Ce label impose en effet de répondre à plusieurs attentes en termes de sécurité. C’est pourquoi Oodrive propose une infrastructure de cloud privé incluant des outils de type OTP (One-Time Password) ou SIEM (Security Information and Event Management) afin de détecter d’éventuels incidents en temps réel.
Sentryo et In-Webo technologies garants de la confiance numérique
La confiance est devenue un élément clé pour n’importe quelle société désirant bâtir son activité dans le numérique. C’est pourquoi l’émergence de labels et de certifications sont devenus des signaux forts donnés en direction des clientèles. Après une levée de fonds de 10 millions d’euros en décembre dernier, Sentryo s’est lancé dans cette même stratégie. Et ce avec réussite.
A l’occasion du dernier FIC, l’éditeur annonce avoir obtenu le label « France Cybersécurité » au travers de sa solution ICS CyberVision. Ce gage définit l’origine d’une technologie ou d’un service. Il est basé sur une déclaration sans forcément intégrer certains audits sur l’environnement de développement, par exemple. Ce même label, que délivre l’ACN (Alliance pour la Confiance Numérique), fait office de garantie quant au fait que l’outil est bel et bien conçu, développé et opéré en France.
Laurent Hausermann, directeur général de Sentryo, précise : « Les réseaux industriels sont de plus en plus exposés aux cyber attaques. Le label « France Cybersecurity » distingue l’expertise de Sentryo et la qualité de la solution ICS CyberVision. Cela permet de déployer une vraie stratégie de cybersécurité industrielle. Les grands groupes cherchent des solutions de confiance pour assurer l’intégrité de leurs opérations. Ce label montre que des solutions françaises de pointe peuvent les aider à se déployer dans le monde entier ».
Un examen collectif poussé
Si ce label est certes différent du visa accordé à Oodrive, l’organisme l’attribue suite à un examen collectif conduit par l’Anssi mais également par la Direction générale de l’armement, le Cesin, le Clusif ou bien encore Hexatrust. C’est pourquoi ce gage revêt un caractère notable pour qui peut s’en prévaloir.
C’est également le cas de Stormshield dont les services sont certifiés et qualifiés systématiquement depuis 2004. Ils ont ainsi reçu le Label France Cybersécurité ainsi que les VISA de l’ANSSI (liés aux certifications et qualifications).
Didier Perrot, PDG d’In-Webo Technologies, éditeur français de solutions sécurisées de contrôle d’accès, dont certains services de VPN sont conformes par l’Anssi, nous explique : « toutes les entreprises n’ont pas encore compris que la sécurité était devenue core business. La certification est nécessaire. En particulier dans des domaines clés comme la mobilité à la demande, l’accès physique ou l’enregistrement ».
A terme, d’autres certifications devraient voir le jour. En particulier pour la sécurisation des réseaux critiques et des organismes d’importance vitale (OIV). Des outils développés par Thales et Gatewatcher seront, à ce titre, certifiés par l’Anssi pour protéger ces installations.
A noter que le sujet est particulièrement abordé par l’organisation professionnelle TECH IN France. L’association rassemble près de 350 sociétés adhérentes lesquelles livrent leurs expériences et partagent leur expertise à propos de la cybersécurité. L’organisme dispose également d’un groupe de travail dédié à la thématique.
Olivier Robillart