S.P.A.C.® NEWS 

Spécialisé en expertise technologique, normative et réglementaire dans la confiance numérique et la cybersécurité, le Cabinet Louis Reynaud – CLR Labs est également laboratoire de test et d’évaluation des technologies biométriques et de sécurité numérique ainsi que du protocole de communication SSCP® promu par SPAC®. Stéfane Mouille, Directeur du laboratoire CLR Labs, revient sur le processus de mise en œuvre du schéma de certification SSCP®, ses prochaines étapes et les grands défis à relever dans la sécurité.

​

 

Quelles actions avez-vous mené avec SPAC® depuis sa création ?

​

Au lancement de SPAC®, nous avons constaté un vrai besoin de créer des schémas de certification sectoriel notamment pour les environnements critiques tels que le système d’information du contrôle d’accès physique. Les acteurs de la sécurité logique et physique se sont alors fédérés autour de SPAC® pour mettre en place des schémas de certification de conformité du protocole SSCP®.

Evaluer des produits de différents industriels peut poser des problèmes de concurrence et de confidentialité des données en lien avec la détention d’information stratégique. La force de SPAC® est d’être parvenu à tous se rassembler pour établir les bases de notre confiance et avancer dans ce processus du schéma de certification de conformité du protocole SSCP®. C’est ainsi que nous avons certifié 6 sociétés fin 2022 - ALCEA, ELSYLOG, OMNITECH SECURITY, SECURE Systems & Services, TIL TECHNOLOGIES et STid et que nous poursuivrons sur cette lancée dans les mois à venir.

 

 

Quelles sont les étapes permettant de certifier les produits embarquant le protocole SSCP ?

​

Il faut d’abord obtenir une licence du protocole SSCP® auprès de l’Alliance SPAC® puis demander une offre d’évaluation au Cabinet Louis Reynaud -CLR Labs pour effectuer les tests techniques (conformité) et demander une offre de certification auprès de l’Alliance SPAC®. L’entreprise doit à ce stade bien définir la cible d’évaluation (UTL, lecteur) et le niveau de certification (basique, substantiel ou élevé). Une fois les tests réalisés, le rapport d’évaluation est transmis à l’entreprise. L’Alliance SPAC® est alors en mesure de prononcer la certification du ou des produits.

 

 

En quoi consiste ces différents niveaux de certification ?

​

Dans la dynamique du European Cybersecurity Act (CSA), l’Alliance SPAC® a défini 3 niveaux de certification afin d’intégrer la notion européenne dans le schéma et d’être au plus près des problématiques des industriels et des clients finaux. Le niveau « basique » permet de tester si le protocole SSCP® est bien implémenté (simulation d’attaques par rejeu et relai, vérification de la génération des « grands nombres » des produits qui vont permettent de générer des clés secrètes…). Avec le niveau substantiel, on ajoute des exigences de l’ANSSI, notamment sur le chiffrement des données dans le cadre du mode dit « transparent » tandis qu’avec le niveau élevé, on évalue et on certifie le firmware de production. C’est-à-dire ceux qui sont utilisés chez les clients finaux.

​

​

Comment voyez-vous l’avenir du schéma de certification ?

​

Nous allons d’abord étendre le périmètre des produits évalués dans le cadre du schéma de certification SSCP®, avec des produits simples qui comme par exemple embarquent des leds et aussi des plus complexes comme les produits IoT pour l’industrie 4.0. Une évolution naturelle basée sur la convergence entre la problématique de sécurisation des contrôles d’accès physique et des systèmes IoT !

Prochaine étape importante : avec SPAC®, nous allons rendre ce schéma conforme aux exigences internationales de la norme ISO 17065. Dans quel objectif ? Pour que l’Alliance SPAC® devienne un Conformity Assessment Body (CAB) dans le cadre de l’accord mutuel des certificats de conformité. On tend ici vers une reconnaissance de l’excellence du schéma de certification ! Dans la même dynamique, le Cabinet Louis Reynaud – CLR Labs est en cours d’accréditation par le COFRAC sur la norme ISO 17025 pour les laboratoires d’évaluation œuvrant aux côtés des CAB.

​

​

Quels enjeux doit-on désormais relever dans la sécurité ?

​

Premier enjeu : il faut sensibiliser les industriels à introduire dès la création des produits la notion de « security by design ». C’est déjà le cas pour les membres de SPAC® et les personnes impliquées dans le schéma de certification du protocole SSCP® mais c’est une démarche qui doit être systématisée, dès la rédaction du cahier des charges des futurs produits ou services.

Autre sujet clé : de plus en plus de services sont offerts en mode SAAS (Software/Infrastructure as un Service). Or, quel niveau de confiance accorde-t-on aux clouds ? Il faut s’assurer qu’ils soient bien soumis au droit exclusif européen et qu’il n’y ait pas d’autres droits extraterritoriaux qui s’appliquent. C’est une question essentielle dans la sécurité et une préoccupation majeure pour l’Europe. D’où la mission confiée à l’ENISA de préparer un schéma européen de certification de cybersécurité pour les services « Cloud ». Une démarche portée aussi en France par l’ANSSI avec la certification SecNumCloud qui garantit que les organisations qui opèrent ces clouds sont au bon niveau de sécurité et que seul le droit européen s’applique. C’est une réflexion globale sur la souveraineté européenne et l’autonomie stratégique !

Dernier point et non le moindre : la NIS 2 qui entrera en vigueur au 2ème semestre 2024 ! Si la NIS 1 a permis de créer cette notion d’opérateur essentiel, la NIS 2 va étendre le principe de transfert de responsabilité. Les opérateurs essentiels vont reporter leur obligation sur leurs sous-traitants (TPE, PME), créant ainsi un cercle vertueux.

​