Certification CSPN : le cas d’étude de S2OPC
En octobre dernier, Systerel a obtenu le Visa de sécurité de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour la certification CSPN (Certificat de Sécurité de Premier Niveau) de son produit S2OPC. Cela nous donne l’occasion de faire un focus sur ce qu’est la CSPN et de fournir un retour d’expérience sur son obtention.
À propos de l’OPC UA¶
La technologie OPC UA est un standard de communication Machine to Machine développé et diffusé par la Fondation OPC. Il s’agit d’une pierre angulaire pour le développement de l’industrie 4.0 grâce à ses capacités à assurer l’interopérabilité des échanges, la sécurité des données et une modélisation avancée de l’information. Systerel, qui est un membre actif de la Fondation OPC, met en œuvre l’OPC UA depuis 10 ans et participe activement à l’émergence et la diffusion de la technologie OPC UA.
Systerel a réalisé le développement de solutions basées sur l’OPC UA et a développé sa solution Open Source sécurisée : S2OPC.
Qu’est-ce que la CSPN ?¶
La CSPN, délivrée par l’ANSSI depuis 2008, atteste qu’un produit des technologies de l’information a passé avec succès une évaluation de sécurité réalisée par un centre d’évaluation agréé par l’ANSSI.
Cette certification est basée sur des tests en « boîte noire » effectués en temps et délais contraints. Elle s’appuie sur des critères, une méthodologie et un processus élaborés par l’ANSSI et publiés sur son site. La CSPN constitue une alternative aux évaluations Critères Communs (CC).
Elle comporte une analyse de conformité et des tests de pénétration réalisés par un évaluateur tiers sous l’autorité de l’ANSSI. Ces tests sont conformes à un schéma et un référentiel adaptés aux besoins de sécurité des utilisateurs et intégrant les dernières avancées technologiques. L’ensemble du processus est géré au sein de l’ANSSI par le centre de certification national.
Note
En d’autres termes, en France, la CSPN est une solution pour obtenir un premier niveau de confiance pour un produit de sécurité et qui répond aux exigences de sécurité de l’immense majorité des acteurs industriels.
Il est également intéressant de noter que l’ANSSI a signé un accord avec son homologue allemand, le BSI, pour la reconnaissance mutuelle entre les schémas de certification CSPN et BSZ (Beschleunigte Sicherheitszertifizierung). Cette reconnaissance dans deux pays européens élimine la nécessité pour les fabricants de se soumettre à de multiples procédures de certification sur différents marchés, réduisant ainsi les coûts et les obstacles commerciaux.
Pourquoi faire certifier un produit ?¶
La certification atteste de la robustesse d’un produit, établissant ainsi sa résilience face aux menaces. Elle offre plusieurs avantages :
Pour les utilisateurs : choisir un produit certifié garantit que les fonctionnalités offrent un niveau de sécurité éprouvé et résistent aux attaques d’un niveau déterminé.
-
Pour les entreprises opérant dans le domaine de l’édition logicielle la certification permet de :
s’assurer qu’elles respectent les normes critiques
bénéficier d’une certification adoptée par le gouvernement français et les industries
valider les programmes de continuité, détaillant la gestion de la future évolution du produit dans le cadre de la certification.
Comment se déroule le processus de certification ?¶
Les acteurs :
le commanditaire : dans notre cas une, direction dédiée de l’ANSSI, différente du centre de certification
le centre d’évaluation aussi appelé CESTI
le centre de certification de l’ANSSI
le développeur du produit : ici, Systerel
Les étapes :
préparation de la demande par le commanditaire,
choix d’un centre d’évaluation par le commanditaire,
demande de certification formulée et transmise par le commanditaire auprès du centre de certification de l’ANSSI,
analyse de la demande par le centre de certification sur la base de la cible de sécurité du produit,
déroulement de l’évaluation
certification
Plus de détails sur le processus de certification, sur le site de l’ANSSI.
Comment la CSPN se compare aux exigences CC ?¶
Une certification CC peut suivre à peu près les mêmes étapes, mais sans plafond de charge ni de délai. Elle s’établit sur une échelle de niveaux d’évaluation EAL (Evaluation Assurance Level) allant de 1 (le minimum d’exigences) à 7 (max).
À titre de comparaison, une procédure CSPN se lit en quelques dizaines de pages là où la procédure CC s’étale sur plusieurs centaines. Le choix de la CSPN peut s’avérer donc plus adapté aux produits dont le cycle de développement est court, ce qui est le cas pour une partie des objets connectés qui se multiplient dans le domaine industriel.
Retour d’expérience sur la certification de S2OPC¶
En octobre dernier, le processus de certification est terminé : le CESTI choisi par l’ANSSI a évalué S2OPC et rendu son rapport. Le centre de certification de l’ANSSI a analysé ce rapport et confirmé le succès de la certification CSPN. Cela inclut :
Les mécanismes de sécurité analysés dans le cadre de cette certification sont détaillés dans la cible de sécurité. Cela inclut :
la signature et le chiffrement des communications,
l’authentification des utilisateurs,
la protection des données utilisateurs,
la protection contre les messages malformés.
La bonne implémentation de ces mécanismes réduit les risques encourus par les utilisateurs vis-à-vis de leurs biens à protéger.
Arrivé à la fin de notre processus de certification CSPN pour S2OPC, nous retenons en particulier :
L’amélioration du produit : le processus conduit à l’amélioration du produit et de sa mise en œuvre sécurisée. Les échanges fructueux avec l’ANSSI nous ont ainsi conduits à interdire des configurations non sécurisées de S2OPC et développer des exemples de mises en œuvre servant de référence à destination de nos utilisateurs.
Des délais potentiels : étant donné le nombre important de dossiers de candidatures déposés auprès de l’ANSSI, ce processus peut être sujet à des délais.
Un cadre réglementaire évolutif : les règles appliquées pour à une certification CSPN peuvent évoluer. Ainsi, depuis 2022, il n’est plus possible de certifier une bibliothèque logicielle sans l’inclure dans un exemple de mise en œuvre. Systerel a ainsi été amenée à prendre en compte cette évolution en cours de certification.
Conclusion et perspectives¶
Pour S2OPC, le visa de sécurité pour une certification CSPN confère une valeur significative sur le marché, car, à l’heure où sont publiées ces lignes, aucun produit concurrent ne possède de certificat sur le plan de la cybersécurité.
La certification vient apporter l’assurance que les mécanismes cyber de la norme OPC UA sont concrétisés dans une implantation de confiance pour minimiser les risques encourus par les biens à protéger (par exemple l’adress space OPC UA). Elle représente un gage de confiance supplémentaire quant au durcissement cyber de S2OPC.
Le visa de sécurité pour une certification CSPN constitue un premier pas permettant aux opérateurs d’infrastructure critiques de recourir à un composant certifié pour les communications dans le domaine de l’OT.
À propos de Systerel¶
Systerel est une société d’ingénierie indépendante spécialisée dans le développement, la validation et l’évaluation de systèmes temps réel critiques. Elle est également l’éditrice logiciel de l’implémentation open-source et sécurisée du standard OPC UA S2OPC dont elle a développé une expertise significative. Systerel assure un soutien industriel complet pour cette implémentation comprenant des formations, des développements spécifiques autour de S2OPC et de la maintenance.
Commentaires