La certification CSPN des produits de contrôle d’accès est-ce suffisant ?
De nos jours de plus en plus de solutions de contrôle d’accès physique font état de leur certification CSPN établie par l’ANSSI. Ces certifications sont une bonne chose en soi car elles démontrent la capacité et la volonté d’un éditeur à produire des solutions robustes aux attaques informatiques.
Toutefois comme le rappelle l’ANSSI sur sa page consacrée aux produits certifiés CSPN
« […], la certification ne garantit pas que le produit certifié soit totalement exempt de vulnérabilités exploitables. »
Et c’est là que le bât blesse. En effet, le process de certification garantit qu’à une date donnée, avec une version donnée, il n’a pas été possible dans un temps forcément contraint de trouver une vulnérabilité. En aucun cas la certification ne garantit que le produit est ou sera invulnérable. De plus toute modification du produit (même une mise à jour mineure de version) fait perdre la certification. A titre d’exemple, nous pouvons citer le produit Zed!, certifié EAL3+ en mai 2016 dans sa version 6.1 build 2120 et pour lequel une vulnérabilité a été découverte 2 ans plus tard (CVE-2018-16518 Site de PrimX). La version 6.1.2226 corrigeant cette vulnérabilité n’est quant à elle pas certifiée. Alors que faut-il faire ? Mettre la dernière version à jour et perdre la certification ou rester sur un produit vulnérable mais certifié ?
Voilà toute l’ambiguïté des certifications, le process étant long et complexe, il n’est pas possible de faire certifier chaque nouvelle version. En effet il est possible que les nouvelles versions introduisent de nouvelles vulnérabilités mais par ailleurs en corrigent d’autres. Alors que faire ?
Dans un premier temps, il nous semble important que ces produits soient mis en œuvre par des professionnels habitués aux risques cyber, qui en maitrisent tous les contours et à même de conseiller les clients sur le rapport bénéfice/risque des solutions à apporter. L’architecte doit prendre en compte les recommandations de l’ANSSI, le concept de défense en profondeur et la capacité/maturité du client sur les risques cyber. En effet le maintien en condition de sécurité par des audits et mises à jour est indispensable. Ainsi la sécurité d’une installation ne se dégradera pas au fil des mois comme cette clôture jamais rénovée et complétement rongée par la rouille.