Et de deux ! Après le pare-feu de l'éditeur français Arkoon, c'est au tour de son compatriote Netasq d'être adoubé par la Direction centrale de la sécurité des systèmes d'information (DCSSI). L'organisme étatique lui a délivré une certification selon les Critères communs (norme ISO 15408), au niveau de fiabilité EAL2+. Netasq obtient aussi la qualification standard, gage de confiance de la DCSSI pour une utilisation par les pouvoirs publics dans le cadre d'un traitement d'informations sensibles.

A cinq mois d'intervalle, deux des principaux éditeurs francais spécialistes de la sécurité bénéficient donc d'un label reconnu par près de vingt pays dans le monde. Mieux, la fiabilité de leurs solutions est approuvée par la première institution de sécurité des systèmes d'information français. Seulement voilà, la comparaison s'arrête là. Si les performances de ces produits ne sont pas à remettre en cause, le processus d'accréditation présente encore des limites et des imprécisions. Ce certificat en apparence unique est à géométrie variable et sa couverture fonctionnelle varie selon les contextes.

D'une part, rien n'impose à un fournisseur de faire certifier l'ensemble des fonctions de son produit. Arkoon s'est concentré sur le centre névralgique d'un pare-feu, le filtrage. Netasq, lui, a fait valider tous les composants de son offre : le pare-feu, mais aussi les fonctions de réseau privé virtuel (RPV), de système de prévention d'intrusions, de serveur d'administration à distance, d'authentification et d'audit.

D'autre part, le profil de protection adopté diffère d'une certification à l'autre. Ce document, censé être générique, définit les besoins de sécurité communs à une catégorie de produits (pare-feu, RPV, etc.), à une administration ou à une industrie. Il précise aussi les exigences de fiabilité auxquelles un deuxième document, la cible de sécurité, devra se conformer. Ce dernier délimite ce qui doit être vérifié fonctionnellement. Or, la DCSSI ne s'est penchée que récemment sur la définition de profils de protection adaptés aux besoins définis par ses administrations.

Pour l'heure, le profil ­ comme la cible ­ évolue au cas par cas. A chaque nouvelle soumission d'un produit par un fournisseur, la DCSSI recadre les besoins de ses administrations. Par exemple, la cible de sécurité de Netasq s'est inspirée de ces travaux récents, alors que celle d'Arkoon ­ faute de mieux ­ était tirée du seul profil de protection alors disponible ­ en l'occurrence un américain.

Sans préjuger de la qualité des deux solutions déjà certifiées, on constate que les référents utilisés diffèrent sensiblement. Si la certification évolue dans le bon sens, la DCSSI, elle, avance donc à tâtons. Les travaux pour définir des profils de protection par famille de produits ont ainsi été entamés en fin 2003 avec le projet Mélèze.

Cette initiative, qui concerne le pare-feu, a réuni un groupe de travail composé d'une douzaine de représentants des administrations et grands comptes français, ainsi que de huit éditeurs hexagonaux. Même lentement, les travaux ont avancé. Mais d'autres projets similaires ont ensuite vu le jour pour les autres profils de protection (RPV, infrastructure à clés publiques).

Et ces derniers sont venus chambouler les premiers travaux... Ainsi, le profil de protection du pare-feu déjà défini, ou en passe de l'être, a dû être entièrement refondu pour correspondre à celui du RPV. Alors que de nombreux produits combinent les deux fonctions, les profils, eux, ne pouvaient fusionner pour aboutir à un document utilisable...

Du coup, cette absence de référentiels publics a un impact direct sur l'adoption des produits certifiés. Dans le cadre d'un appel d'offres, une administration n'est ainsi pas en mesure d'exiger comme critère déterminant que les produits présentés soient certifiés. Car tout en étant en accord avec les préceptes de la DCSSI, un fournisseur étranger ne sait pas à quel profil de protection il doit se référer pour certifier son offre.

La solution consisterait à rédiger et à mettre à disposition des référentiels publics. L'article premier du décret du 18 avril 2002, relatif à l'évaluation et à la certification de la sécurité des systèmes, ne fait d'ailleurs qu'inciter les administrations de l'Etat à recourir à des produits labellisés. On évite ainsi l'accusation d'entrave à la concurrence de la part des autorités communautaires.

Cette référence à une norme, à un profil de protection public, lèverait tout soupçon en établissant une règle du jeu claire, à laquelle tout acteur pourrait se conformer. La situation actuelle n'avantage donc que peu les sociétés passées par le chemin de la certification, puisque les administrations ne disposent pas des moyens de faire valoir que ce label est déterminant dans leur choix.

Des solutions non certifiées par la DCSSI ont donc tout loisir de remporter des appels d'offres. Et elles y parviennent, sans même dépenser les 80 000 à 150 000 euros que coûte, en moyenne, la procédure de certification. Les référentiels cryptographiques, domaine de prédilection de la France, sont disponibles depuis longtemps. Il est désormais grand temps que la DCSSI communique ceux relatifs à la sécurisation des réseaux et systèmes d'information.