CSPN et ANSSI Visa : cybersécurité française
Guide · CSPN et Visa de sécurité ANSSI
Cree en 2009 par décret, l'ANSSI (Agence nationale de la sécurité des systèmes d'information) est l'autorité française de cybersécurité, équivalente fonctionnelle du BSI allemand, du NCSC britannique ou de la branche cybersécurité du NIST. Au coeur de son action produit figure le Visa de sécurité, label transverse qui regroupe trois délivrables, la CSPN (Certification de Securite de Premier Niveau, depuis 2008), les certifications Critères Communs émises sous schéma français dans le cadre de SOG-IS et du nouveau règlement EUCC, et les Qualifications a trois niveaux (Élémentaire, Standard, Renforce). Ce guide expose la mécanique de chacun de ces outils, le rôle des laboratoires CESTI, l'articulation avec la Loi de Programmation Militaire pour les Operateurs d'Importance Vitale, et la place du dispositif français dans le paysage européen issu du Cyber Resilience Act et de la RED 3.3.
L'ANSSI, autorité française de cybersécurité
Section intitulée « L'ANSSI, autorité française de cybersécurité »L'ANSSI a ete établie par le décret n. 2009-834 du 7 juillet 2009, sous l'autorité du Secretariat général de la défense et de la sécurité nationale (SGDSN). Sa mission couvre quatre axes principaux, la défense des systèmes d'information de l'Etat, l'assistance aux Operateurs d'Importance Vitale et aux administrations, la régulation par le RGS (Référentiel General de Securite) et les référentiels sectoriels, et la qualification de produits et de services de confiance.
Sur la chaine de la confiance numérique, l'ANSSI joue un rôle analogue a celui du Bundesamt für Sicherheit in der Informationstechnik (BSI) en Allemagne, du National Cyber Security Centre (NCSC) au Royaume-Uni, du National Institute of Standards and Technology (NIST) aux Etats-Unis pour la partie standards, ou de l'agence ENISA au niveau européen. La spécificité française tient a la combinaison de la régulation, de la qualification, et de l'opération de capacités étatiques au sein d'une seule entite.
L'agence n'execute pas elle-même les évaluations techniques. Pour cela elle s'appuie sur un réseau de laboratoires accredites, les CESTI (Centres d'Evaluation de la Securite des Technologies de l'Information), qui réalisent les essais sous le controle qualité du COFRAC et sous le pilotage méthodologique de l'ANSSI. L'agence delivre, refuse ou retire les certificats et qualifications.
Le Visa de sécurité, un label parapluie
Section intitulée « Le Visa de sécurité, un label parapluie »Le terme Visa de sécurité n'est pas un schéma d'évaluation en soi, c'est le nom donne par l'ANSSI au regroupement public de ses délivrables. Trois familles distinctes y figurent.
| Famille | Type d'évaluation | Reconnaissance |
|---|---|---|
| CSPN | Premier niveau, charge d'évaluation cadrée | Schema national français |
| Certification CC | Critères Communs ISO/IEC 15408, paquets EAL | International via SOG-IS et CCRA, transition vers EUCC |
| Qualification | Adequation a un usage et a un niveau (Élémentaire, Standard, Renforce) | Schema national français, integre aux référentiels réglementaires |
Le Visa de sécurité remplit deux fonctions complementaires. Pour le marche, il atteste publiquement qu'un produit a fait l'objet d'une évaluation par l'autorité française. Pour le donneur d'ordre régulé, il fournit le critère de sélection objectif a inscrire dans un appel d'offres ou un cahier des charges, sans avoir a reproduire l'expertise technique en interne.
Le catalogue est accessible publiquement, par catégorie de produit, et reste la reference pour vérifier la validité courante d'un certificat ou d'une qualification.
La CSPN, schéma d'évaluation cadre dans le temps et le budget
Section intitulée « La CSPN, schéma d'évaluation cadre dans le temps et le budget »La CSPN a ete introduite en 2008 pour combler une lacune entre l'absence d'évaluation et le poids des Critères Communs. Une évaluation CC, même a niveau EAL 2 augmente, demande typiquement plusieurs centaines de jours d'évaluation et un budget significatif. Pour des produits dont la sensibilité ne justifie pas cet investissement mais qui requièrent une confiance attestée, la CSPN propose un format de "premier niveau".
Caracteristiques structurantes
Section intitulée « Caracteristiques structurantes »Trois choix de conception distinguent la CSPN.
- Charge d'évaluation cadrée. L'ANSSI a défini un volume d'évaluation cible, en ordres de grandeur de quelques dizaines de personnes-jours, qui permet a un CESTI de proposer un devis ferme avant le démarrage. Cette prévisibilité est l'argument principal pour les fabricants.
- Evaluation en boite blanche. Le CESTI dispose du code source, de la documentation de conception, et d'un accès direct au produit. L'objectif est de détecter rapidement les failles connues et les fautes de conception courantes, plutôt que de mener une analyse exhaustive de l'arbre d'attaque.
- Cible de sécurité proportionnee. La cible (l'équivalent fonctionnel de la Security Target de CC) est volontairement courte et lisible. Elle décrit le produit, ses fonctions de sécurité, les menaces couvertes, les hypothèses d'environnement, et les biens proteges. L'ANSSI publie des modeles par domaine.
Domaines d'application typiques
Section intitulée « Domaines d'application typiques »La CSPN couvre une dizaine de domaines techniques régulièrement representes au catalogue.
- Logiciels et boîtiers de chiffrement (de fichiers, de disque, de communications)
- Pare-feu, dispositifs de filtrage réseau, et passerelles industrielles
- Solutions d'identification et d'authentification, gestion de comptes a privilèges
- Mecanismes de démarrage securise (secure boot), d'intégrité et de protection du firmware
- Composants de signature électronique, horodatage et délivrance de certificats
- Anti-virus, EDR, sondes de détection
- Systemes de messagerie sécurisée et de partage de fichiers
- Mecanismes de protection des données au repos sur poste de travail ou serveur
Chaque domaine fait l'objet d'un modele de cible de sécurité type, qui guide la rédaction du fabricant et la conduite d'évaluation par le CESTI. La liste exacte des modeles disponibles est publiée par l'ANSSI.
Processus en six étapes
Section intitulée « Processus en six étapes »| Etape | Acteur principal | Livrable |
|---|---|---|
| Cadrage et sélection du CESTI | Fabricant | Choix du CESTI, périmètre fonctionnel |
| Redaction de la cible de sécurité | Fabricant, assiste par le CESTI | Cible de sécurité (CSP) |
| Soumission au CESTI et a l'ANSSI | Fabricant | Dossier produit, contrats |
| Conduite des essais | CESTI | Rapport technique d'évaluation (RTE) |
| Analyse et avis ANSSI | ANSSI | Decision de délivrance ou de refus |
| Publication au catalogue | ANSSI | Certificat CSPN, publication |
Duree de validité et évolutions
Section intitulée « Duree de validité et évolutions »Un certificat CSPN s'inscrit dans une durée de validité indiquée sur le document. La pratique courante est une durée de trois ans, éventuellement reconduite apres examen d'un dossier de surveillance ou de re-évaluation. Toute modification fonctionnelle ou cryptographique substantielle du produit conduit l'ANSSI a évaluer si une nouvelle CSPN est requise ou si une maintenance suffit. La durée exacte applicable a un produit donne figure systématiquement sur son certificat.
La certification Critères Communs délivrée par l'ANSSI
Section intitulée « La certification Critères Communs délivrée par l'ANSSI »L'ANSSI est l'autorité française de délivrance des certificats Critères Communs (ISO/IEC 15408), reconnus internationalement dans le cadre de deux accords.
- CCRA (Common Criteria Recognition Arrangement), accord mondial signe par une trentaine de pays, qui reconnaît mutuellement les certificats jusqu'au niveau EAL 4 augmente.
- SOG-IS MRA (Senior Officials Group Information Systems Security), accord européen qui prolongeait la reconnaissance jusqu'a EAL 7 pour les domaines maitrisés. SOG-IS a cessé d'émettre de nouveaux certificats le 27 février 2026.
Avec l'entrée en application du règlement (UE) 2024/482 établissant le schéma européen EUCC (European Cybersecurity Certification schème on Common Criteria), l'ANSSI bascule sa délivrance vers EUCC pour les produits relevant du champ. EUCC reprend les niveaux d'assurance CC (substantial pour EAL 1 a 4, high pour EAL 5 a 7) en les redenominant et ajoute un cadre de surveillance post-marche.
Pour un fabricant, la décision entre CSPN et CC repose sur trois criteres.
| Critere | CSPN privilégiée | CC privilégiée |
|---|---|---|
| Sensibilite du bien protege | Donnees professionnelles, périmètres classiques | Donnees classifiées, infrastructures critiques |
| Marche vise | France et acheteurs français reglementes | Multi-pays, export, marches reglementes étrangers |
| Budget et calendrier | Contraints, première certification | Disponibles, deuxième cycle d'investissement |
Pour le détail du cadre normatif CC, voir notre guide Critères Communs ISO/IEC 15408.
La Qualification, complément décisif du certificat
Section intitulée « La Qualification, complément décisif du certificat »Un certificat (CSPN ou CC) atteste qu'un produit a passe une évaluation technique. Il ne dit rien de l'adéquation du produit a un usage donne par une administration ou un OIV. La Qualification comble cet écart, en accolant au certificat un niveau qui caracterise l'usage couvert.
Les trois niveaux et leurs domaines d'emploi
Section intitulée « Les trois niveaux et leurs domaines d'emploi »| Niveau de Qualification | Besoin couvert | Domaine d'emploi typique |
|---|---|---|
| Elementaire | Confidentialite et intégrité courantes | Administrations standards, entreprises non OIV |
| Standard | Protection d'informations sensibles non classifiées | OIV au sens de la LPM, OSE au sens de NIS, certains usages santé |
| Renforce | Protection de données Diffusion Restreinte et plus | OIV pour les usages les plus sensibles, fonctions critiques de l'Etat |
Chaque niveau est associe a un référentiel d'exigences (RFS, Reglement Federal de Securite, ou référentiels sectoriels). Le fabricant qui souhaite la qualification doit démontrer que son produit satisfait non seulement le contenu fonctionnel du certificat, mais aussi les exigences opérationnelles, organisationnelles et de cycle de vie du niveau cible.
Articulation avec la LPM et les OIV
Section intitulée « Articulation avec la LPM et les OIV »La Loi de Programmation Militaire de 2013 (modifiée depuis) impose aux OIV des obligations de cybersécurité, encadrées par les arretes sectoriels signes par les ministres des secteurs concernes. Les arretes listent, pour chaque catégorie de système d'information d'importance vitale (SIIV), les exigences techniques applicables, et imposent l'emploi de produits qualifies au moins au niveau Standard pour certaines fonctions critiques (cryptographie, authentification, détection).
La qualification au niveau approprie devient ainsi un prérequis d'achat pour ces operateurs. Un produit certifie CSPN mais non qualifie peut être vendu hors de ce périmètre, mais sera ecarte d'un appel d'offres OIV sur cette base.
Renouvellement et maintien
Section intitulée « Renouvellement et maintien »Une qualification ne se prolonge pas automatiquement avec le renouvellement du certificat. Elle suppose un suivi par l'ANSSI, comprenant la verification de la chaine d'approvisionnement, des engagements du fabricant en matière de maintien en condition de sécurité, et un examen periodique. Une qualification expirée retire au produit son accès au marche régulé, même si le certificat sous-jacent demeure valide. La gestion du renouvellement est donc un point d'attention industriel important.
Le réseau des CESTI
Section intitulée « Le réseau des CESTI »Le CESTI est le maillon opérationnel du schéma. Pour être reconnu, il satisfait trois conditions cumulatives.
- Accreditation COFRAC sur la norme ISO/IEC 17025 pour la portée évaluation de sécurité.
- Reconnaissance ANSSI apres examen du dossier de compétences, des outils, des procédures et de la séparation des roles.
- Inscription au catalogue ANSSI mis a jour régulièrement.
La liste officielle est publiée par l'agence. Les CESTI sont specialises par domaines, certains laboratoires couvrent l'ensemble du spectre CSPN, d'autres se concentrent sur les composants matériels et la cryptographie. Le fabricant choisit son CESTI selon le domaine technique et son expérience d'évaluation.
Les qualifications de services, PASSI, PVID et adjacents
Section intitulée « Les qualifications de services, PASSI, PVID et adjacents »Au-dela des produits, l'ANSSI qualifie également des prestataires de services de cybersécurité. Le mécanisme est analogue, un référentiel définit le périmètre, un organisme tiers verifie la conformité, et l'ANSSI delivre ou retire la qualification.
| Qualification | Perimetre | Usage typique |
|---|---|---|
| PASSI | Audits de sécurité (architecture, configuration, code, intrusion, organisation) | Administrations, OIV obligant un audit externe |
| PDIS | Prestataires de détection d'incidents de sécurité (SOC, MDR) | OIV soumis a obligation de détection |
| PRIS | Prestataires de réponse aux incidents de sécurité | OIV en post-incident |
| PVID | Verification d'identité a distance | Telechargement d'identité numérique, KYC reglemente |
| PACS | Conception et intégration de systèmes securises | Marches Etat sensibles |
PVID merite une attention particuliere. Le référentiel s'adosse au cadre eIDAS et au RGPD, et qualifie les processus de verification d'identité a distance utilisant le passeport ou la carte d'identité a puce, la biométrie et la liaison vivante. C'est la base réglementaire de l'identité numérique française (FranceConnect+).
SecNumCloud, un schéma parallèle oriente services cloud
Section intitulée « SecNumCloud, un schéma parallèle oriente services cloud »SecNumCloud est un schéma de qualification distinct des produits et des services audit, dedie aux services d'informatique en nuage. Il qualifie des offres SaaS, PaaS et IaaS sur trois dimensions principales.
- Securite technique, équivalente aux exigences attendues au niveau Standard ou Renforce.
- Securite organisationnelle, incluant la gestion des incidents, la continuité d'activité, la chaine d'approvisionnement.
- Souverainete, exigence d'immunité aux lois extra-européennes a portée extraterritoriale, hébergement et controle effectifs depuis l'Espace économique européen.
Le référentiel courant est SecNumCloud V3.2, applicable depuis 2022. SecNumCloud est aujourd'hui un prérequis pour l'hébergement de données sensibles de l'Etat et de certaines données de santé critiques. Il n'est pas couvert par le Visa de sécurité produit, mais figure dans le panorama global des labels ANSSI sous une catégorie distincte.
Sur le plan européen, SecNumCloud sert d'inspiration partielle au schéma EUCS (European Cybersecurity Certification schème for Cloud Services) en cours d'élaboration sous le règlement Cybersecurity Act (UE) 2019/881.
Articulation avec le cadre européen
Section intitulée « Articulation avec le cadre européen »Le schéma français opere dans un paysage européen en mouvement. Trois textes structurent l'environnement.
- Le règlement Cybersecurity Act (UE) 2019/881 établit le cadre des schémas européens de certification de cybersécurité, geres par l'ENISA. Il porte EUCC pour les produits, EUCS pour les services cloud, et EU5G pour la 5G.
- Le Cyber Resilience Act (UE) 2024/2847, applicable le 11 décembre 2027, impose a tout produit comportant des éléments numériques mis sur le marche européen un socle d'exigences de cybersécurité, avec présomption de conformité via des normes harmonisées et facultativement via des certifications EUCC.
- La RED article 3.3, applicable depuis le 1 août 2025, impose aux équipements radio connectes a internet des exigences de cybersécurité, satisfaites par défaut via les normes harmonisées EN 18031.
Pour un produit fabricant français vendu en France et en Europe, plusieurs scenarios coexistent.
| Produit | Marquage CE / RED | Visa ANSSI |
|---|---|---|
| Caméra IP grand public, marche français et européen | EN 18031 obligatoire | Aucun (marche non régulé par OIV) |
| Module HSM destine a une administration et a une OIV | Marquage CE applicable selon directives | CSPN voire CC, Qualification Standard ou Renforce |
| Logiciel de chiffrement vendu aux administrations | Hors marquage CE | CSPN et Qualification Elementaire ou Standard |
| Sonde de détection pour OIV | Eventuellement marquage CE | CSPN et Qualification Standard |
| Solution complete pour services classifies de l'Etat | Marquage selon périmètre | CC, Qualification Renforce |
Le Visa de sécurité ne se substitue pas au marquage CE, et reciproquement. Pour les marches français régulés, il vient en complément et constitue souvent le critère differenciant. Voir aussi le guide EN 303 645 pour la dimension cybersécurité consumer IoT.
Pieges courants dans la conduite d'un projet CSPN
Section intitulée « Pieges courants dans la conduite d'un projet CSPN »L'expérience accumulée sur les projets CSPN fait apparaître cinq erreurs recurrentes.
1. Considérer CSPN comme équivalente a CC dans les marches d'export. A l'étranger, la CSPN est peu reconnue. Un produit qualifie pour vendre en Allemagne sur des marches publics aura besoin d'une certification BSI ou d'une certification CC sous accord SOG-IS. Confondre Visa et reconnaissance internationale conduit a un investissement vain.
2. Négliger le maintien de la qualification. Le certificat CSPN se prolonge plus simplement que la qualification associée. Un fabricant qui laisse expirer sa qualification sans renouveler perd l'accès au marche régulé, même si le produit n'a pas evolue.
3. Mal calibrer le périmètre de la cible de sécurité. Une cible trop large alourdit l'évaluation au-dela du cadre CSPN. Une cible trop étroite ne couvre pas les fonctions réellement utilisées en exploitation et fragilise la confiance. Le bon calibrage se fait avec le CESTI au démarrage.
4. Sous-estimer le temps de rédaction de la cible. La cible de sécurité est l'artefact contractuel qui structure l'évaluation. Pour un fabricant qui rend pour la première fois ce document, le délai de rédaction et de révision atteint plusieurs semaines. La planification doit l'intégrer.
5. Confondre le marquage CE et le Visa ANSSI. Les deux processus sont independants. Le marquage CE atteste la conformité aux directives européennes applicables (LVD, EMC, RED, RoHS, CRA a venir). Le Visa atteste l'évaluation par l'ANSSI. Un produit peut être CE sans Visa, ou Visa sans certaines directives CE si son périmètre ne le requiert pas.
Demarche pratique pour un fabricant
Section intitulée « Demarche pratique pour un fabricant »Une demarche structurée comporte typiquement quatre temps.
1. Définir la cible commerciale et réglementaire. Identifier les marches vises (administrations, OIV, OSE, santé, export), les référentiels réglementaires applicables (LPM, NIS, RGS, HDS), et le niveau de qualification utile. Cette étape determine si CSPN suffit ou si CC est necessaire.
2. Choisir le CESTI et cadrer la cible de sécurité. Selectionner un laboratoire dont le domaine de spécialité couvre le produit. Co-rediger la cible de sécurité avec son support méthodologique, en s'appuyant sur les modeles publies par l'ANSSI.
3. Conduire l'évaluation et obtenir le certificat. Fournir au CESTI le code source, la documentation et le matériel d'évaluation. Suivre le calendrier convenu, traiter les questions du CESTI, corriger les écarts identifies.
4. Engager la procédure de qualification. Une fois le certificat delivre, monter le dossier de qualification couvrant les engagements de maintien en condition de sécurité, la chaine d'approvisionnement, et l'organisation interne. Anticiper les renouvellements et intégrer leur calendrier au cycle produit.
Voir aussi
Section intitulée « Voir aussi »- CMMC et UK Cyber Essentials: baselines cyber de défense
- PSA Certified: sécurité IoT pilotée par Arm
- SESIP: méthodologie d'évaluation cybersécurité IoT
- TPM 2.0 et sécurité matérielle TCG
Perspectives et tendances
Section intitulée « Perspectives et tendances »Trois évolutions sont a surveiller dans les prochaines annees.
- Montee en puissance d'EUCC. L'ANSSI bascule progressivement les nouvelles délivrances CC vers le schéma européen EUCC, qui apporte une harmonisation des niveaux d'assurance et une obligation de surveillance post-marche. Les certificats existants restent valides selon leur durée d'origine.
- Articulation CSPN et CRA. Le Cyber Resilience Act introduit des obligations de cybersécurité produit a l'échelle europeenne. La CSPN ne se substitue pas a la conformité CRA, mais constituera une preuve pertinente pour certains chapitres du dossier technique CRA, en particulier sur la gestion des vulnérabilités et le cycle de vie.
- Convergence des qualifications de services. Le panorama PASSI, PDIS, PRIS, PVID, PACS tend a s'unifier en termes de portail et de procédure. L'ANSSI publie régulièrement des points de situation sur l'évolution de ses référentiels.
Pour aujourd'hui, le Visa de sécurité reste l'instrument de confiance principal du marche cybersécurité français régulé. Sa maitrise, articulée avec la RED 3.3 et le CRA, structure la stratégie de mise sur le marche d'un produit cybersécurité en France et au-dela.
Pour aller plus loin
Section intitulée « Pour aller plus loin »- Cyber Resilience Act : socle européen de cybersécurité produit
- ETSI EN 303 645 : cybersécurité IoT consommateur
- Critères Communs ISO/IEC 15408 : cadre normatif international
- Directive RED : équipements radio et cybersécurité article 3.3
- Glossaire : définitions des termes ANSSI, ENISA, CESTI, EUCC
Sources & références
- ANSSI, agence nationale de la sécurité des systèmes d'information , ANSSI cyber.gouv.fr/
- Visa de sécurité ANSSI, presentation generale , ANSSI cyber.gouv.fr/visas-de-securite
- Référentiel CSPN, Certification de Securite de Premier Niveau , ANSSI cyber.gouv.fr/le-referentiel-cspn
- Loi de Programmation Militaire et obligations OIV , ANSSI cyber.gouv.fr/operateurs-dimportance-vitale-oiv
- Référentiel SecNumCloud, qualification des prestataires de services cloud , ANSSI cyber.gouv.fr/secnumcloud-pour-les-fournisseurs-de-services-cloud
- Qualification PASSI, prestataires d'audit , ANSSI cyber.gouv.fr/prestataires-daudit-de-la-securite-des-systemes-dinformation-passi-qualifies
- EUCC, schéma européen de certification de cybersécurité , EUR-Lex eur-lex.europa.eu/eli/reg_impl/2024/482/oj
Questions fréquentes
- Quelle est la différence entre CSPN et certification Critères Communs ?
- La CSPN (Certification de Securite de Premier Niveau) est un schéma français propre a l'ANSSI, conçu pour évaluer un produit sous contrainte de temps et de coût, avec une charge d'évaluation cadrée par l'ANSSI. Les Critères Communs (ISO/IEC 15408) imposent une évaluation plus profonde, structurée par paquets d'assurance EAL, et reconnue internationalement via CCRA et SOG-IS. CSPN convient a une première validation sur un périmètre simple, CC s'impose pour les composants sensibles (cartes a puce, modules cryptographiques, plateformes d'identité) ou les marches d'export demandant une reconnaissance internationale.
- Qu'est-ce que le Visa de sécurité ANSSI ?
- Le Visa de sécurité est un label transverse sous lequel l'ANSSI regroupe ses délivrables d'évaluation et de qualification, CSPN, certifications Critères Communs délivrées par l'ANSSI dans le cadre du SOG-IS et de l'EUCC, et Qualification d'un produit a un niveau Elementaire, Standard ou Renforce. Le Visa atteste publiquement qu'un produit a fait l'objet d'une évaluation de sécurité par l'agence, et oriente les acheteurs publics et régulés vers des produits dont la confiance est attestée.
- Quels sont les niveaux de Qualification ANSSI ?
- L'ANSSI définit trois niveaux de Qualification. Élémentaire couvre les besoins courants en confidentialité et intégrité. Standard répond a un besoin renforce, typiquement pour la protection d'informations sensibles non classifiées et l'usage dans les Operateurs d'Importance Vitale. Renforce s'adresse aux besoins les plus eleves, dont la protection de données soumises au secret de la défense nationale au niveau Diffusion Restreinte. Le niveau requis dépend du domaine d'emploi vise et est défini par un référentiel d'exigences associe.
- La CSPN est-elle obligatoire en France ?
- Non, la CSPN reste volontaire. Elle devient cependant un prérequis contractuel pour accéder a certains marches publics, en particulier ceux des Operateurs d'Importance Vitale (OIV) au titre de la Loi de Programmation Militaire, des Operateurs de Services Essentiels (OSE) au titre de NIS, des administrations soumises au RGS, et de la santé via l'agrément Hebergeur de Donnees de Sante (HDS). Hors France, la reconnaissance est plus limitée qu'avec une certification Critères Communs internationale.
- Combien de temps un produit reste-t-il certifie CSPN ?
- Un certificat CSPN est émis pour une durée limitée, généralement reconduite si le produit n'a pas subi d'évolution substantielle. La Qualification associée suit la durée de validité du certificat. En cas de modification du produit, l'ANSSI peut exiger une re-évaluation, une surveillance, ou un examen d'impact avant de prolonger ou retirer le visa. La durée exacte applicable est indiquée sur chaque certificat publie au catalogue ANSSI.
- Qu'est-ce qu'un CESTI et qui peut réaliser une CSPN ?
- Un CESTI (Centre d'Evaluation de la Securite des Technologies de l'Information) est un laboratoire accrédite par l'ANSSI, place sous controle qualité par le COFRAC, qui realise les évaluations CSPN ainsi que les évaluations Critères Communs délivrées par l'ANSSI. La liste officielle des CESTI accréditées est publiée par l'ANSSI. Le fabricant choisit son CESTI parmi cette liste et contractualise directement avec lui, l'ANSSI restant seul autorité délivrant le certificat final.
- Comment la CSPN s'articule-t-elle avec le CRA européen et la RED 3.3 ?
- Le Cyber Resilience Act applicable en décembre 2027 et la RED 3.3 depuis août 2025 imposent des exigences de cybersécurité aux produits avec éléments numériques et aux équipements radio. Une évaluation CSPN ou une Qualification ANSSI ne se substitue pas a ces obligations, mais peut être versée au dossier technique pour démontrer la maturité cybersécurité du produit. Pour les marches publics français critiques, le Visa ANSSI reste le critère de sélection déterminant en complément du marquage CE.
- Qu'est-ce que la qualification PASSI et PVID ?
- PASSI (Prestataires d'Audit de la Securite des Systemes d'Information) est une qualification d'ANSSI pour les sociétés réalisant des audits d'architecture, de configuration, de code source, de tests d'intrusion ou d'organisation. PVID (Prestataires de Verification d'Identite a Distance) qualifie les prestataires de verification d'identité numérique au sens du référentiel eIDAS et du RGPD. Ces qualifications visent les services, et non les produits comme la CSPN, et permettent aux administrations et OIV d'externaliser ces missions a des acteurs dont la confiance est attestée.
- Quelle est la relation entre SecNumCloud et le Visa de sécurité ?
- SecNumCloud est un schéma de qualification ANSSI distinct, applicable aux services cloud (SaaS, PaaS, IaaS). Il vise la souveraineté et la protection des données hébergées, en imposant entre autres une immunité aux lois extra-européennes a portée extraterritoriale. Bien que separe du Visa de sécurité produit, SecNumCloud partage la même philosophie de confiance attestée et figure dans le panorama des labels ANSSI accessibles aux fournisseurs.