Sécurité informatique : l’évaluation et la certification.

Le récent décret n°2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information dispose que "la sécurité offerte par des produits ou des systèmes des technologies de l’information, au regard notamment de leur aptitude à assurer la disponibilité, l’intégrité ou la confidentialité de l’information traitée face aux menaces dues en particulier à la malveillance peut être certifiée" dans des conditions qui sont définies par ce décret (article 1).

Ce décret propose donc une procédure d’évaluation et de certification qui concerne les administrations de l’Etat et les entreprises privées. En ce sens, il renforce les bases juridiques du schéma français d’évaluation et de certification qui précisent les règles et l’organisation relatives à la conduites d’une évaluation par une tierce partie et à son contrôle, le tout conduisant la délivrance de certificat.

La DCSSI met en oeuvre le schéma français sous le contrôle d’un comité directeur de la certification en sécurité des technologies de l’information dont la mission consiste à définir une politique générale du schéma (http://www.scssi.gouv.fr/fr/confiance/evalcertif.html).

La certification des produits de sécurité s’harmonise sur le plan européen au moyen des critères ITSEC (Information Technology Security Evaluation Criteria), devant permettre d’apprécier le niveau de protection d’un produit informatique ou d’un réseau.

L’examen est conduit par des centres de certification de la sécurité des technologies de l’information (CESTI) reconnu pour la France par une autorité gouvernementale qu’est la Direction Centrale de la Sécurité des Systèmes d’Information (DCSSI) renforçant la crédibilité du label.

Il s’agit donc d’un label officiel à vocation internationale, dont peut se prévaloir tout constructeur qui l’aura obtenu.

Auteur : Arnaud Tessalonikos
Avocat

Arnaud TESSALONIKOS Avocat

Cédric FRENEL Avocat

ALAIN BENSOUSSAN - AVOCATS 29, rue du Colonel Pierre Avia - 75508 PARIS cedex 15 Tel. : 01.41.33.35.35 - Fax : 01.41.33.35.36 - Port. : 06.70.76.81.94 arnaud-tessalonikos@alain-bensoussan.com http://www.alain-bensoussan.com Fondé en 1978 par Alain Bensoussan, avocat à la cour d’appel de Paris, ALAIN BENSOUSSAN-AVOCATS s’est orienté, dès l’origine, vers le droit de l’informatique. Le cabinet a poursuivi cette orientation et se consacre entièrement aux technologies avancées, aujourd’hui articulées autour de sept principaux domaines techniques : informatique, télécommunications, communication/multimédia, Internet, électricité, espace, santé électronique/biotechnologies. Il intervient dans les différentes branches du droit appliquées au secteur technique concerné. Le cabinet se compose de cent trente personnes dont quatre-vingts dix avocats et juristes. Arnaud TESSALONIKOS est Responsable d’activités au sein du Pôle informatique. Cédric FRENEL est titulaire d’un DJCE et d’un DEA de Propriété intellectuelle et travaille depuis plusieurs années avec Arnaud TESSALONIKOS. Leurs fonctions les conduisent à développer des activités centrées sur les grand projets informatiques, tant en conseil qu’en contentieux. La pratique de l’expertise judiciaire leur a permis d’acquérir une vision opérationnelle du droit de l’informatique, et les a conduit à s’intéresser plus particulièrement à la sécurité des systèmes d’information ainsi qu’à l’e-logistique. Arnaud TESSALONIKOS a écrit plusieurs articles sur ces questions, notamment dans l’Informatique Professionnelle, l’Usine Nouvelle ou encore la Gazette du droit des technologies avancées.