Qualification

De M82 - DIMA's wiki
Version datée du 29 juillet 2025 à 21:13 par Achill cyber (discussion | contributions) (Page créée avec « Processus qui consiste à garantir la conformité du produit à ses spécifications. Dans le cadre de l’analyse d’un incident de sécurité, la qualification consiste à déterminer la nature et la gravité* de l’incident. Voir Qualification de produits de sécurité. Pour aller plus loin L’objectif de la qualification est de s’assurer qu’un produit de sécurité (matériel ou logiciel) ou qu’un prestataire de services de confiance répond aux bes... »)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Aller à la navigation Aller à la recherche

Processus qui consiste à garantir la conformité du produit à ses spécifications. Dans le cadre de l’analyse d’un incident de sécurité, la qualification consiste à déterminer la nature et la gravité* de l’incident. Voir Qualification de produits de sécurité.

Pour aller plus loin

L’objectif de la qualification est de s’assurer qu’un produit de sécurité (matériel ou logiciel) ou qu’un prestataire de services de confiance répond aux besoins de l’administration. Le cadre réglementaire (décret no 2010-112 du 2 février 2010) prévoit que le recours à des produits de sécurité et à des prestataires de services de confiance et qualifiés soit la règle générale pour les administrations, les exceptions devant être justifiées. Pour les produits de sécurité, cette qualification est directement délivrée par l’ANSSI, sur la base d’une certification. On distingue trois niveaux de qualification : élémentaire, standard et renforcé permettant de résister à des attaques de niveau croissant. Pour les prestataires, cette qualification est délivrée par un organisme de qualification accrédité par le COFRAC (Comité Français d’Accréditation) et habilité par l’ANSSI. Les familles de prestataires de services de confiance actuellement qualifiées ou en cours de qualification sont : les prestataires de services de certification électronique, les prestataires d’audit SSI, les prestataires d’informatique en nuage (en cours), les prestataires de détection des incidents de sécurité (en cours) et les prestataires de réponse aux incidents de sécurité (en cours). Le catalogue des produits de sécurité et des prestataires de service qualifiés est publié sur le site Web de l’Agence. Au sein de l’ANSSI, c’est le Bureau Qualifications et Agréments de la Sous-direction Expertise qui remplit ces missions .

Qualification de produits de sécurité Dans le cadre de ses missions, l’Agence Nationale de la Sécurité des Systèmes d’Information procède à la qualification de produits de sécurité. Il s’agit de conduire un processus pour garantir la conformité du produit par rapport à ses spécifications de sécurité. La démarche permet de recenser les vulnérabilités d’un produit et de tester les contournements possibles des fonctions de sécurité. L’ANSSI présente le processus comme suit : La qualification de produits de sécurité fait l’objet du chapitre III du décret n° 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 20005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les autorités administratives et les usagers. Elle permet d’attester de la conformité d’un produit de sécurité au RGS (dont la première version en entrée en vigueur le 6 mai 2010 par arrêté du Premier ministre). Elle prévoit trois niveaux de qualification, un niveau élémentaire, un niveau standard et un niveau renforcé .

Récupérée de « https://diod.m82-project.org/index.php?title=Qualification&oldid=539 »