Le français Systerel, société d'ingénierie spécialisée dans le développement, la validation et l'évaluation de systèmes temps réel critiques pour la sécurité, vient d’obtenir un visa de sécurité de l'Anssi (Agence nationale de la sécurité des systèmes d’information) (*) pour la certification CSPN (Certificat de sécurité de premier niveau) de son produit S2OPC.
Pour rappel, S2OPC (Safe & Secure OPC) est une implantation open source sûre et sécurisée de la technologie OPC UA (Open Platform Communications Unified Architecture), une architecture globale assurant l'échange d'informations en temps réel entre composants et équipements dans le domaine des automatismes industriels. Il s’agit d’une architecture orientée services (SOA, Service Oriented Architecture), fondée sur un réseau IP compatible IPv4 et IPv6.
Avec cette étape de certification, jugée majeure par Systerel, la technologie S2OPC devient ainsi une brique de base de la cybersécurité dans l’industrie 4.0. Pour ce faire, la certification CSPN atteste de la robustesse du produit examiné (le TOE - Target of Evaluation - voir schéma ci-dessus) conformément à des exigences établies par l’Anssi à travers des méthodologies qui répondent aux besoins de sécurité des utilisateurs, tout en tenant compte des évolutions technologiques.
La CSPN implique une analyse de conformité complète et des tests d'intrusion réalisés par un évaluateur tiers indépendant (un Cesti, Centre d'évaluation de la sécurité des technologies de l'information), sous l'autorité de l'Anssi. L'évaluation intègre notamment un examen qui s’étale sur 35 hommes-jours, portant sur la conformité du produit analysé vis-à-vis de ses spécifications de sécurité, sur l'efficacité des fonctions de sécurité et l'impact du produit sur la sécurité du système hôte et sur une analyse cryptographique. In fine cette certification atteste de la robustesse et de la fiabilité de la technologie S2OPC.
Cette initiative s’inscrit aussi dans un contexte où, au niveau européen, la demande de solutions de cybersécurité certifiées est en constante augmentation. Grâce à une coopération entre les agences de cybersécurité française et allemande, une reconnaissance mutuelle des certificats a été établie. Ainsi, par voie de conséquence, S2OPC bénéficie également de la certification BSZ (Beschleunigte Sicherheitszertifizierung), l'équivalent allemand de la CSPN. Cette reconnaissance mutuelle, signée en 2022 entre l’Anssi et le BSI (équivalent de l’Anssi en Allemagne), élimine de fait la nécessité pour les fabricants de se soumettre à plusieurs procédures de certification sur différents marchés, réduisant ainsi, selon Systerel, les coûts et les obstacles commerciaux.
"Avec les certifications de l’Anssi et de la fondation OPC, les utilisateurs de S2OPC ont désormais la garantie d'un haut niveau de confiance dans la mise en œuvre des cybermécanismes OPC UA et dans l'atténuation des risques encourus par les actifs à protéger", commente Vincent Pouzol, responsable du département Produits chez Systerel.
Systerel souligne enfin que sa technologie S2OPC a déjà été déployée au sein des systèmes de plusieurs grandes entreprises, dont Alstom Transport, CIMO (Compagnie industrielle de Monthey SA), le Cnes, RTE et Schneider Electric.
(*) Les visas de sécurité délivrés par l’Anssi, mis en place à partir de 2018, permettent d’identifier les solutions de sécurité fiables et reconnues comme telles à l’issue d’une évaluation réalisée par des laboratoires agréés selon une méthodologie rigoureuse et éprouvée. Cette évaluation prend la forme de tests de pénétration et d’une analyse approfondie pour vérifier la conformité de ces solutions aux référentiels d’exigences correspondants. Un visa de sécurité se matérialise, selon le contexte et le besoin, par une certification ou une qualification.
Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC