Security > ANSSI: Evaluate the cost of the CSPN certification

[LucasBrazi06]

There are 2 certifications:

• La certification critères communs (CC - reconnu au niveau mondial) - Durée: 6 à 18 mois – Effort: ?
• La certification de sécurité de premier niveau (CSPN - reconnue en Europe) – Durée: 2 mois – Effort: 25 à 35 jours/homme

They sell 90% of CC and 10% of CSPN.

What is the price of the CSPN? The goal is to have a plan to get this certification.

[jerome-benoit]

Information asked some times ago.

[LucasBrazi06]

Information asked some times ago.

And?

[jerome-benoit]

https://www.ssi.gouv.fr/uploads/2018/01/certification_securite_produits_visa_securite_anssi.pdf

Il faut prendre contact avec un centre de certification proche.

[LucasBrazi06]

https://www.ssi.gouv.fr/uploads/2018/01/certification_securite_produits_visa_securite_anssi.pdf

Il faut prendre contact avec un centre de certification proche.

Ok, tu t'en occupes ? Tu peux aussi voir avec Fred (@fcoutellier )

[jerome-benoit]

C'est déjà fait :) Des réunions sont programmées pour faire des devis.

@fcoutellier : tu veux suivre le sujet ?

Disons que hier j'ai rattrape rapidement juste le suivi de mes issues.

[LucasBrazi06]

Ok, super boulot ! Merci Jerome !

[jerome-benoit]

La charge de la CSPN est fixée par l'ANSSI: pour notre cas de figure vu qu'on utilise de la cryptographie dans l'application, c'est 36 j/h.

Le déroulé est:

• Redaction de cible de sécurité, faite soit par nous-meme, soit par le prestataire de certification moyennant finance;
• Redaction de la cible de sécurité spécifique a la cryptographie (aide possible du prestataire moyennant finance)
• Validation de la cible de sécurité par l'ANSSI;
• Certification par le prestataire de chaque point dans la cible;
• Validation par l'ANSSI de la certification si obtenue ou invalidation avec retour au point 2 avec un délai et un cout supplémentaire pour repasser la certification.

Les prestataires (ou CESTI) offrent aussi des pre-audit avant certification pour éviter de repasser par le cycle complet en cas d’échec.

Des devis modulaires sur chaque point sont en cours de redaction chez 3 CESTI.

[LucasBrazi06]

Ok merci ! Putain c'est la banque de France lol !!!!

[jerome-benoit]

Plusieurs remarques:

• Les CESTI consultés sont surpris par la demande de certification CSPN pour ce type de logiciel. Les certifications de l'ANSSI sont normalement faites pour les logiciels qui offrent des fonctionnalités de sécurité exclusivement. La demande originelle n'est donc pas fondée sur de l’ingénierie mails plutôt sûrement sur le fait d'avoir une protection en cas de pb. Il reste que normalement ce type de certification n'est pas faite pour ça et que il doit peut être exister un autre moyen moins coûteux.
• Le cloud va poser un très sérieux pb pour la certification. L'ANSSI ne valide normalement que du 'On Premise'. A discuter avec l'ANSSI.
• Le temps moyen de la certification est de 6 a 8 mois.
• Le pre-audit est fortement recommandé pour éviter les refus.

[cybergege]

Salut Jerôme,

https://www.ssi.gouv.fr/administration/produits-certifies/certification-faq/

Etrange, le périmètre défini sur le site mentionne : « produits pour systèmes industriels (API, et serveurs SCADA : Supervisory Control And Data Acquisition) Ce qui est notre cas non ?

De plus il y a 7 niveaux d’évaluation. Dans tes devis, quel niveau as-tu demandé ?

A+

[jerome-benoit]

Etrange, le périmètre défini sur le site mentionne  https://www.ssi.gouv.fr/administration/produits-certifies/certification-faq/: « produits pour systèmes industriels (API, et serveurs SCADA : Supervisory Control And Data Acquisition) Ce qui est notre cas non ?

Pas tout a fait, SCADA, ca vient du monde de l’automatisation electro-mécanique. Quand l’ANSSI parle de systèmes industriels, il parle de système de supervision de la distribution d’eau, de systèmes de gestion des transports de produit chimique. etc.. Les systèmes présentent des risques importants en cas de pb de sécurité.

Disons que c’est a la limite, si SCADA intègre le cloud et l’IoT, ca peut rentrer mais faudra en discuter avec l’ANSSI directement pour savoir ce qu’il intègre dans leur definition de systèmes industriels, ce que les CESTI m’ont propose de faire avant de soumettre la cible de sécurité. De plus la demande émane d’un service de l’état, ce qui devrait faciliter les justifications pour passer la CSPN.

De plus il y a 7 niveaux d’évaluation. Dans tes devis, quel niveau as-tu demandé ?

Les niveaux qui correspondent a la CSPN sont modérés: EAL1 a EAL4. L’autre certification de l’ANSSI les intègre tous.

-- Jérôme Benoit - R&D Software Engineer SAP Labs France OpenPGP Key ID : 27B535D3 Key fingerprint : B799 BBF6 8EC8 911B B8D7 CDBC C3B1 92C6 27B5 35D3

[jerome-benoit]

Lexfo:

Compte tenu de l'élargissement du périmètre, votre certification va devoir être déclinée en certification de gamme de produits : l'application web et les serveurs devront être certifiés d'une part, puis les applications mobiles devront être certifiées de l'autre. Le devis en sera inévitablement impacté.

Concernant la partie cloud, je vous confirme que cela pose un réel problème à l'ANSSI, aussi, je vous conseille vivement de prendre contact le plus tôt possible avec industries@ssi.gouv.fr pour leur faire part de votre cas. Ils devraient être en mesure d'établir avec vous une stratégie d'évaluation autour de l'aspect cloud de votre solution.

[jerome-benoit]

I do not think that issue need more work.

[cybergege]

Yes ! Très bon travail, amazinnnnnnng ! Lol

From: Jérôme Benoit notifications@github.com Sent: mercredi 4 mars 2020 13:03 To: LucasBrazi06/ev-dashboard-new ev-dashboard-new@noreply.github.com Cc: SEILER, Gerald gerald.seiler@sap.com; Comment comment@noreply.github.com Subject: Re: [LucasBrazi06/ev-dashboard-new] Security > ANSSI: Evaluate the cost of the CSPN certification (#1093)

I do not think that issue need more work.

— You are receiving this because you commented. Reply to this email directly, view it on GitHubhttps://github.com/LucasBrazi06/ev-dashboard-new/issues/1093?email_source=notifications&email_token=AGLYJMGOZUVJP3SFJVSXSVTRFY7N3A5CNFSM4KLHVAB2YY3PNVWWK3TUL52HS4DFVREXG43VMVBW63LNMVXHJKTDN5WW2ZLOORPWSZGOENXRDGA#issuecomment-594481560, or unsubscribehttps://github.com/notifications/unsubscribe-auth/AGLYJMFBCW6XSXAXUKYJX2LRFY7N3ANCNFSM4KLHVABQ.

[jerome-benoit]

:)

And AWS allow to do on premise application deployment if needed.

[LucasBrazi06]

:)

And AWS allow to do on premise application deployment if needed.

???