Qualification – FAQ

Pour les produits, il existe trois niveaux de qualification :

• Le niveau élémentaire
  Le produit doit résister à un attaquant disposant de compétences techniques basiques et de ressources limitées.
• Le niveau standard
  Le produit doit résister à un attaquant disposant de compétences techniques avancées et de ressources importantes.
• Le niveau renforcé
  Le produit doit résister à un attaquant disposant de compétences techniques sophistiquées et de ressources illimitées ainsi que d’un soutien étatique et/ou de groupes criminels.

LES SERVICES SONT REGROUPÉS EN PLUSIEURS FAMILLES SELON LE CADRE D’UTILISATION :
audit, réponse aux incidents, détection des incidents, informatique en nuage et services de confiance numérique (certification électronique, horodatage électronique, validation et conservation de signatures et cachets électroniques, envoi de recommandé électronique).

Tous les produits ou services de cybersécurité, en particulier ceux qui répondent en priorité aux besoins de l’administration et des opérateurs d’importance vitale (OIV), sont concernés par la qualification.

Pour les produits :

Pour les services :
Les services éligibles à la qualification doivent correspondre aux familles identifiées pour répondre aux besoins réglementaires :

prestataires de services de cyberdéfense :

• prestataires d’audit de la sécurité des systèmes d’information (PASSI),
• prestataires de détection des incidents de sécurité (PDIS),
• prestataires de réponse aux incidents de sécurité (PRIS).

Les prestataires de services d’informatique en nuage (SecNumCloud). Les prestataires de services relatifs à la confiance numériques :

• prestataires de certification électronique (PSCE),
• prestataires de service d’horodatage électronique (PSHE),
• prestataires de service de validation de signatures et cachets électroniques,
• prestataires de service de conservation de signatures et cachets électroniques,
• prestataires de service d’envoi recommandé électronique.

1. L’entrée en qualification

   Le fournisseur de produit ou service constitue un dossier de demande de qualification qu’il adresse par voie électronique ou postale à l’ANSSI.
   L’instruction de ce dossier permet à l’ANSSI de retenir les dossiers complets et les offres répondant aux besoins de l’administration et des opérateurs d’importance vitale (OIV).
   
   Le fournisseur dont l’offre est éligible à la qualification propose à l’ANSSI un « contrat d’évaluation » définissant un cadre et des conditions d’évaluation. En validant ce contrat d’évaluation, l’ANSSI autorise le fournisseur à débuter les évaluations. Le produit ou le statut obtient alors le statut « en cours de qualification » et le fournisseur peut en faire la promotion.

2. Les évaluations

   Un centre d’évaluation agréé par l’ANSSI va éprouver la robustesse du produit ou la compétence d’un prestataire en se conformant au « contrat d’évaluation ». Le fournisseur s’assure également de respecter les engagements ayant trait aux conditions ou délais des évaluations. Les résultats des évaluations seront ensuite soumis à l’ANSSI qui peut demander si nécessaire des évaluations complémentaires.

3. La décision de qualification et le suivi

   La décision dépend des résultats d’évaluation et de leur conformité aux critères de robustesse et de confiance. Selon ces critères, l’ANSSI définit les usages sécurisés du produit ou service et les conditions à respecter.

Dans le cadre du suivi, pour tenir ses engagements, le fournisseur pérennise la robustesse de sa solution et entretient la confiance.

La qualification d’un produit ou d’un service par l’ANSSI est reconnue en France et, selon certains cadres règlementaires, en Europe. Recommandée par l’Etat français, elle offre également une visibilité sur les marchés national, européen et international.

Pour les produits comme pour les services, l’évaluation est menée par un centre d’évaluation agréé par l’ANSSI. La liste des centres agréés est présentée dans le catalogue des solutions qualifiées par l’ANSSI.

Les frais d’évaluations d’une offre par un centre d’évaluation sont à la charge exclusive du fournisseur de produit ou service. L’ANSSI assure un contrôle continu des évaluations.

Selon le cadre règlementaire, la qualification est octroyée pour une durée maximale de 2 à 3 ans.

Au cours de cette période de validité, l’ANSSI définit un niveau de recommandation pour l’offre qualifiée qui évolue dans le temps et illustre les prescriptions d’utilisation et d’acquisition déterminées par l’ANSSI.

Au-delà de cette période de validité, le renouvellement simplifié de la qualification est possible, sur la base du réengagement du fournisseur, d’une analyse d’impact recensant l’ensemble des éventuelles modifications et corrections apportées, et le cas échéant, de travaux d’évaluation complémentaires.

La qualification simplifiée de nouvelles versions de produits qualifiés est de même possible, sur un modèle équivalent.

La validité de la qualification dépend des conditions et éventuelles restrictions consignées dans la décision de qualification : dans le cadre du suivi de la qualification, le fournisseur est tenu d’informer l’ANSSI de tout changement important concernant le commanditaire ou le fournisseur de produit ou de service (changement de propriétaire, de structure juridique, perte d’habilitation relative à la protection du secret de la défense nationale des personnes physiques et morales en relation avec l’offre qualifiée, arrêt de la commercialisation, maintenance corrective, support utilisateur, etc.).