Question de M. ADNOT Philippe (Aube - NI) publiée le 29/05/2003

M. Philippe Adnot appelle l'attention de M. le Premier ministre sur la mise en oeuvre dans notre pays de la norme " Critères communs " (CC). L'Union européenne a adopté une résolution en décembre 2001 invitant les Etats membres à promouvoir la norme " Critères communs " standardisée ISO 15408 pour le secteur des nouvelles technologies. Le schéma français d'évaluation et de certification précise le contexte réglementaire et l'organisation nécessaires à la conduite d'une évaluation par une tierce partie et à son contrôle, conduisant à la délivrance de certificats. Le décret n° 2002-535 du 18 avril 2002 définit le cadre réglementaire du schéma. La mise en oeuvre du schéma français est confiée à la direction centrale de la sécurité des systèmes d'information (DCSSI), sous le contrôle du comité directeur de la certification en sécurité des technologies de l'information qui a la responsabilité de définir la politique générale du schéma. La DCSSI, dans son rôle d'organisme de certification, procède à la délivrance des certificats. Depuis mai 2000, un arrangement de reconnaissance mutuelle selon les Critères communs couvre les certificats exigeant les composants d'assurance compris entre les niveaux EAL 1 et EAL 4. Une grande part des partenaires économiques de la France - l'Autriche, l'Espagne, la Finlande, la Grèce, Israël, l'Italie, la Norvège, les Pays-Bas, et la Suède, signataires de l'accord - reconnaissent les certificats émis par les organismes de certification au titre de cet arrangement, conférant ainsi à la norme CC une très large couverture territoriale. La sécurité des systèmes et des réseaux étant une préoccupation importante du gouvernement récemment mise en exergue par le projet de " loi pour la confiance dans l'économie numérique ", il souhaiterait savoir quelles mesures il entend mettre en oeuvre pour promouvoir cette norme de sécurité Critères communs sur les produits et les systèmes des technologies de l'information.

- page 1720


Réponse du Premier ministre publiée le 07/08/2003

Les " Critères communs ", ou norme internationale IS 15408, ont été élaborés à partir de 1993 par un groupe international composé de représentants de l'Allemagne, du Canada, de la France, des Etats-Unis, des Pays-Bas et du Royaume-Uni. L'Allemagne, la France, les Pays-Bas et le Royaume-Uni apportèrent, en tant que contribution européenne, les critères ITSEC (Information technology security evaluation criteria) déjà très largement utilisés en Europe. Dans ce groupe, dit groupe des " sponsors ", la DCSSI représenta la France ; elle participa très activement à l'élaboration de cette norme internationale ainsi qu'à l'élaboration de l'accord international de reconnaissance des certificats (CCRA). D'ailleurs, la France assure, depuis deux ans, la présidence du comité de gestion de cet accord. Depuis la création du schéma d'évaluation et de certification en 1995, devenu par la suite le schéma de certification au sens du décret 2002-535 du 18 avril 2002, la demande de certification selon les " Critères communs " est croissante et concerne principalement les moyens de paiement. En effet, le Gouvernement a signé en 1999 une convention avec la Banque de France dans laquelle celle-ci s'engage à promouvoir l'usage des " Critères communs " dans le secteur bancaire. Ainsi les cartes de débit-crédit CB et les porte-monnaie électroniques sont certifiés selon cette norme. En ce qui concerne la signature présumée fiable, le Gouvernement a privilégié le choix de la certification selon les " Critères communs " pour la démonstration de la conformité aux exigences du décret du 30 mars 2001 relatif à la signature électronique. Ce choix est signifié dans la procédure du schéma français d'évaluation et de certification relative à la délivrance des certificats de conformité des dispositifs de création de signature électronique. De même, il est prévu d'encourager le recours à la certification " Critères communs " pour les dispositifs de vérification de signature et pour les modules cryptographiques des prestataires de services. Par ailleurs, le décret 2002-535 stipule dans son article 1er que les administrations de l'Etat recourent, dans la mesure du possible et en fonction de leurs besoins de sécurité, à des produits ou des systèmes des technologies de l'information certifiés suivant la procédure de ce décret. De manière à inciter plus fortement les administrations de l'Etat et les fournisseurs de produits de sécurité à recourir à la certification, le Gouvernement a commencé à développer, en liaison avec l'industrie, des spécifications de sécurité sous forme de profils de protection avec l'intention d'en faire des normes françaises homologuées permettant ainsi un recours plus aisé à la certification selon les " Critères communs ". De plus, de manière à promouvoir plus largement l'usage de cette norme et le recours à la certification, la DCSSI propose et assure des formations dans ce domaine pour les agents de l'Etat. Elle assure également des formations dans certaines écoles d'ingénieurs et participe régulièrement aux différentes conférences relatives à la sécurité (Eurosec, Salon Cartes, ISSE, conférence annuelle internationale relative aux " Critères communs " ICCC). Par ailleurs, la DCSSI anime également le groupe de normalisation de l'AFNOR relatif aux critères d'évaluation, dont les " Critères communs " représentent le sujet central. Enfin, la DCSSI met au service du public des informations relatives à la certification et aux " Critères communs " sur son site Web (http ://www.ssi.gouv.fr).

- page 2523

Page mise à jour le