Produits qualifiés par l’ANSSI

La qualification de produits de sécurité fait l’objet du chapitre III du décret n° 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les autorités administratives et les usagers. Elle permet d’attester de la conformité d’un produit de sécurité au RGS (dont la première version en entrée en vigueur le 6 mai 2010 par arrêté du Premier ministre).
Elle prévoit trois niveaux de qualification, un niveau élémentaire, un niveau standard et un niveau renforcé.

L’ANSSI instruit les demandes et délivre les attestations de qualification. La procédure s’appuie principalement sur la procédure de certification prévue par le décret n° 2002-535 du 18 avril 2002 (référentiel CSPN pour le niveau élémentaire, référentiel Critères Communs pour les niveaux standard et renforcé). Cependant, s’agissant d’un label spécifique pour l’administration, l’ANSSI procède à des contrôles complémentaires, d’une part elle valide la cible de sécurité au regard des besoins de l’administration, d’autre part elle réalise et fait réaliser des tests sur la cryptologie et son implémentation.
Le décret précité (article 4) prévoit que le recours à des produits qualifiés soit la règle générale pour les administrations, les exceptions devant être justifiées.