Réponse publiée le 24 mai 2016

L'organisation française en matière de certification dite « critères communs » permet de disposer de produits et services de cybersécurité adaptés aux différents besoins des administrations et des entreprises en matière de confidentialité, de disponibilité et d'intégrité de l'information traitée face aux menaces dues en particulier à la malveillance. La certification s'appuie sur des travaux d'évaluation réalisés par des laboratoires agréés par le Premier ministre et accrédités par le Comité français d'accréditation (COFRAC) selon la norme NF EN ISO/CEI 17025. Ces laboratoires sont communément appelés Centres d'évaluation de la sécurité des technologies de l'information (CESTI). Les évaluations sont menées conformément à des normes ou standards spécifiés par l'agence nationale de la sécurité des systèmes d'information (ANSSI). Le décret no 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information détermine les conditions dans lesquelles est effectuée cette certification. Dans son chapitre III, le décret précise les missions du comité directeur de la certification en sécurité des technologies de l'information. Le comité est chargé : de formuler des avis ou des propositions sur la politique de certification, sur les règles et normes utilisées pour les procédures d'évaluation et de certification et sur les guides techniques mis à la disposition du public ; d'émettre un avis sur la délivrance et le retrait des agréments aux centres d'évaluation ; d'examiner, à des fins de conciliation, tout litige relatif aux procédures d'évaluation organisées par le décret ; d'émettre un avis sur les accords de reconnaissance mutuelle conclus avec des organismes étrangers. Présidé par le secrétaire général de la défense et de la sécurité nationale ou son représentant, généralement un cadre de l'ANSSI, ce comité comprend des représentants de treize ministères et se réunit annuellement pour ses délibérations ordinaires. Son secrétariat est assuré par l'ANSSI. Toutefois, les membres du comité sont très régulièrement consultés par écrit par le directeur général de l'ANSSI afin de valider toute évolution des politiques, règles ou normes propres au dispositif. L'organisation française en matière de certification « critères communs » est reconnue mondialement et constitue un des piliers de la politique nationale en matière de cybersécurité. Elle est cohérente et coordonnée avec les principaux pays européens et notamment avec l'Allemagne qui partage la même approche.