L’agence nationale de sécurité disait manquer de labels dans son secteur, contrairement au secteur alimentaire. La récente affaire des lasagnes ne lui donne pas raison !

« Patrick Pailloux a regretté que le secteur de la sécurité informatique n’ait pas créé ses propres labels comme le secteur alimentaire a su le faire. » Cette phrase, on a pu l’entendre lors d’un événement sécurité qui s’est joué à guichet fermé, début février, à Paris. A ce moment-là, personne ne remettait en question l’utilité, et surtout l’efficacité, de la traçabilité agroalimentaire. Mise en place, ne l’oublions pas, pour parer au scandale précédent de la « vache folle ». Surtout, personne n’avait idée de ce qui allait éclater. Car, ironie du sort, le jour même où M. Pailloux prononçait ces mots, l’affaire des lasagnes était révélée. Affaire qui révèlera, un peu plus tard, que 13 % des produits alimentaires testés en France contiendraient de la viande frauduleuse…

Si la comparaison tombe à l’eau, la question de savoir si l’Anssi doit labelliser toujours plus afin de réguler le marché de la sécurité informatique en France (aussi bien celui des logiciels de sécurité que celui des prestations intellectuelles) reste posée. Pourtant la réponse, on la connaît : les « labels » délivrés par l’Etat dans le domaine de la sécurité informatique existent déjà et sont multiples : critères communs (CC), certification sécurité de premier niveau (CSPN), prestataire d’audit des systèmes de sécurité de l’information (Passi), sans compter les labels sectoriels comme ceux de l’Arjel (Autorité de régulation des jeux en ligne). Et le moins que l’on puisse dire, c’est que l’expérience n’est pas concluante !

A quand le « certifieur » certifié ?

Malgré leurs trente ans d’expérience, les critères communs n’ont jamais réussi à produire de la confiance au-delà des cartes à puce et de quelques implémentations cryptographiques. Certes, Windows NT4 est certifié au niveau EAL4+, mais les conditions de validité d’une telle certification sont assez difficiles à obtenir en pratique (à savoir : pas de réseau, ni de lecteur de disquette)… La CSPN, plus agile et plus opérationnelle, devait rendre la certification accessible à tous. Las ! Après cinq années d’existence, force est de constater qu’on trouve très peu de produits utiles dans la liste à la Prévert publiée par l’Anssi.

Les produits les plus certifiés restent… les outils de signature et les coffres-forts logiciels, pour lesquels la demande est soutenue artificiellement par le RGS (Référentiel général de sécurité) et l’Arjel. Et là encore, le périmètre de certification a son importance. Que penser d’une carte à puce logicielle dont l’hypothèse de mise en œuvre est l’absence de tout code malveillant sur le poste de travail ? D’un logiciel de sécurité qui présente une faille exploitable à distance sans authentification dans un composant impossible à désactiver, mais hors périmètre de certification ? Enfin, pourquoi les logiciels développés par l’administration (tels que SecDroid ou TrustedBird) ne font pas eux-mêmes l’objet d’une certification en bonne et due forme ?

Les vrais labels sont ceux qui ne s’achètent pas

Il est vrai que selon le site de l’Anssi, 53 produits étaient entrés en évaluation au 1er septembre 2011. Depuis, seules 14 certifications ont été délivrées. On aimerait bien savoir où sont passées les autres… On pourrait également aborder le sujet de la certification PCI/DSS ou celle des centrales nucléaires… mais la vérité, c’est qu’aucun label dans lequel l’audité est partie prenante – que ce soit dans l’alimentaire ou dans l’informatique – ne peut délivrer de résultat objectif. Les seuls labels qui ont de la valeur sont ceux qu’on ne peut acheter. Un exemple récent ? L’Arjel vient de retirer son agrément à un site de jeux en ligne. Car les labels décernés par cette autorité ne sont pas là pour « réguler » le marché, mais bien pour s’assurer que l’argent des jeux rentre dans les caisses de l’Etat. Et là, ça rigole moins.

Alors, si vous voulez que votre produit ou votre service obtienne le label de la communauté, rendez-vous à Paris le 17 mai prochain. Vous pourrez y rencontrer Luigi Auriemma et ses semblables. Sa particularité ? Avoir été crédité pour plus de 800 alertes de sécurité. Ce qui fait de lui le meilleur chasseur de failles de tous les temps …