ML-KEM-1024 | FIPS 203 | CSPN ANSSI Chiffrement souverain post-quantique
CSPNCritères CommunsANSSICertification

CSPN et Critères Communs : guide de lecture des certifications ANSSI pour les RSSI

6 mars 2026·Équipe Cryptops·10 min de lecture

L'ANSSI délivre deux types de certifications pour les produits de sécurité : la Certification de Sécurité de Premier Niveau (CSPN) et la certification selon les Critères Communs (CC, ISO/IEC 15408). Comprendre leur différence est essentiel pour un RSSI qui doit justifier ses choix technologiques auprès de sa direction et de ses autorités de tutelle.

La CSPN — certification pragmatique

La CSPN est une évaluation en boîte grise, à durée fixe (25 ou 35 jours-hommes), réalisée par un Centre d'Évaluation de la Sécurité des Technologies de l'Information (CESTI) accrédité COFRAC et agréé ANSSI.

Elle évalue la conformité aux spécifications déclarées par le développeur, la résistance aux attaques de niveau basique à standard, l'analyse du code source, et les tests en conditions réelles.

CSPN

  • Durée : 6-18 mois
  • Évaluation : 25-35 jours-hommes
  • Coût maîtrisé
  • Boîte grise (code source + tests)
  • Niveau adapté aux produits commerciaux
  • N'évalue pas la conception globale

Critères Communs (EAL3-EAL4+)

  • Durée : 2-4 ans
  • Évaluation approfondie
  • Coût : 250 k EUR - 1 M EUR+
  • Analyse complète de la conception
  • Reconnaissance internationale (27 pays)
  • Requis pour la défense et le classifié

Les Critères Communs — certification approfondie

Les Critères Communs permettent d'atteindre des niveaux d'assurance EAL1 à EAL7. EAL3 et EAL4 sont les niveaux couramment exigés pour les produits de sécurité réseau. EAL4+ (EAL4 avec durcissements) représente le niveau standard pour les produits destinés aux administrations et OIV en France.

L'évaluation CC est plus longue et plus coûteuse mais offre une assurance beaucoup plus élevée sur la conception et l'implémentation. Elle inclut l'analyse de la spécification fonctionnelle, de la conception de haut niveau, de la correspondance entre la conception et l'implémentation, et des tests indépendants.

Que signifie "certifié ANSSI" pour un acheteur

Un produit certifié CSPN a été évalué par un tiers indépendant sur une version figée. Sa nomenclature matérielle et logicielle est gelée — tout changement nécessite une nouvelle évaluation. Cette traçabilité est la garantie que le produit déployé est identique au produit évalué.

Pour les achats publics soumis aux recommandations ANSSI, la certification constitue une présomption de conformité opposable. Elle simplifie considérablement le processus de sélection et réduit le risque juridique pour le RSSI et la direction.

En pratique, la certification apporte trois garanties :

  • Le produit a été testé par un laboratoire indépendant accrédité
  • Les fonctions de sécurité annoncées sont effectives et résistantes
  • La version déployée correspond exactement à la version évaluée

Horizon 2026 pour le chiffrement post-quantique

À ce jour, aucun chiffreur réseau post-quantique n'est certifié CC ou CSPN en France. Les premières certifications CSPN pour des produits intégrant ML-KEM sont attendues à partir de 2026. Les opérateurs qui anticipent cette échéance et engagent des évaluations dès maintenant seront les premiers à disposer d'une solution conforme et certifiée.

L'ANSSI a indiqué que les référentiels d'évaluation seraient adaptés pour prendre en compte les algorithmes post-quantiques. Les produits en cours d'évaluation intégrant ML-KEM-1024 et ML-DSA-65 bénéficieront de ces référentiels actualisés.

Pour un RSSI, la stratégie recommandée est de sélectionner dès aujourd'hui des solutions engagées dans un parcours de certification ANSSI, en privilégiant les éditeurs qui ont démontré leur capacité à mener à bien ce processus exigeant.

Suivez notre parcours de certification

En savoir plus