Le CoN était LA référence pour qu’un logiciel ou un matériel soit accepté sur les réseaux sécurisés de l’US Army. Obtenir ce sésame prouvait que le produit respectait toutes les exigences de sécurité, d’architecture et de fiabilité imposées par l’armée.
| CoN (US Army) | Visas ANSSI (France) |
|---|---|
| Validation unique pour déploiement sur réseaux militaires | Certification, qualification ou homologation selon l’usage |
| Axé sur la sécurité, la maintenabilité et l’interopérabilité | Accent sur la sécurité, la confiance de l’État, et l’analyse de risques |
| Processus lourd, coût élevé (de 40 000 à 400 000 € selon la complexité) | Évaluation par CESTI, coût variable (20 000 à 200 000 € typiquement) |
| Remplacé par RMF, DoDIN APL (en cours d’abandon) | Qualification ANSSI, CSPN, Critères Communs |
Pourquoi ce certificat a-t-il été abandonné ?
La cybersécurité évolue trop vite pour des labels figés. Dès 2018, l’armée américaine a basculé vers le RMF (Risk Management Framework), intégrant une surveillance continue et des tests plus adaptés à la réalité des cybermenaces.
Le DoDIN APL, qui listait les produits approuvés pour l’ensemble du département de la Défense, s’arrête officiellement en septembre 2025. L’accent est désormais mis sur la conformité continue, l’auto-attestation des fournisseurs et des audits réguliers.
Y a-t-il un équivalent français au certificate of networthiness ?
En France, aucun label ne porte ce nom, mais la logique reste très présente ! Pour déployer un produit sur un réseau sensible, il faut viser la certification ou la qualification ANSSI. Ce processus garantit que le produit a passé des tests de sécurité poussés par des experts indépendants.
L’ANSSI publie chaque mois un catalogue de produits et services certifiés ou qualifiés. Les administrations, collectivités et entreprises critiques s’y réfèrent systématiquement avant d’acheter une solution informatique.
Certification, qualification, homologation : quelles différences ?
La certification (CSPN, Critères Communs) atteste que le produit a été testé par un laboratoire agréé, sur un périmètre défini. Elle est rapide et accessible pour la CSPN, plus poussée et internationale pour les Critères Communs.
La qualification ANSSI va plus loin : elle garantit la confiance de l’État. Elle combine la certification technique et une analyse du fournisseur, de son code source et de ses processus. Elle ouvre l’accès aux marchés publics et donne un avantage dans les appels d’offres sensibles.
L’homologation de sécurité concerne le système d’information lui-même. Il s’agit pour l’organisation de démontrer que l’ensemble de ses choix techniques et organisationnels respecte les exigences de sécurité attendues. L’outil MonServiceSécurisé facilite cette démarche pour les collectivités.
Quels sont les coûts et délais pour obtenir une certification ou une qualification ANSSI ?
Les démarches de certification et qualification sont gratuites du côté de l’ANSSI, mais les coûts réels concernent l’audit, les tests techniques et la préparation de la documentation.
Comptez de 20 000 à 60 000 € pour une CSPN simple, et jusqu’à 200 000 € ou plus pour une évaluation Critères Communs ou une qualification renforcée avec audits complémentaires. Les délais varient de 2-3 mois (CSPN) à plus d’un an (CC et qualification renforcée).
Pour accélérer l’homologation d’un service numérique public, utilisez l’outil MonServiceSécurisé mis à disposition gratuitement par l’ANSSI et la DINUM !
N’oubliez pas de budgéter aussi le travail interne : documentation technique, corrections, gestion des versions, échanges avec le laboratoire, etc.
Comment choisir la bonne démarche ?
Pour un éditeur qui vise le secteur public ou les opérateurs critiques, la qualification ANSSI standard ou renforcée est la voie royale. Cela rassure vos clients et vous distingue de la concurrence.
Pour une PME qui démarre ou vise un déploiement rapide, la CSPN offre une première marche abordable : elle est reconnue pour de nombreux usages, y compris dans l’administration territoriale.
Si vous ciblez l’international, la certification Critères Communs (CC) vous ouvre les portes des marchés américains, canadiens, allemands, etc. À condition de viser un niveau EAL3+ ou supérieur.
Quels conseils pour réussir sa démarche de qualification ou de certification ?
Définissez le niveau de sécurité visé dès la conception du produit. Impliquez un CESTI compétent le plus tôt possible pour éviter les mauvaises surprises en fin de parcours.
Documentez tout, des architectures aux tests de pénétration. Prévoyez au moins deux itérations de corrections entre chaque étape d’audit. L’ANSSI publie des guides pour chaque étape : appuyez-vous dessus pour gagner du temps.
Gardez un œil sur le catalogue ANSSI pour vérifier la concurrence et les exigences du marché !
Et pour les acheteurs ou usagers ?
Avant de choisir un produit ou un service, vérifiez sa présence dans le catalogue ANSSI et privilégiez les solutions qualifiées si vous manipulez des données sensibles.
Suivez les recommandations d’architecture publiées par l’ANSSI, notamment pour la diversification des équipements (exemple : mixer les marques de firewalls sur un même réseau). Réalisez des analyses de risques et des tests d’intrusion à intervalles réguliers.
Pour les collectivités, les CSIRT territoriaux offrent un accompagnement concret et gratuit pour la gestion des incidents et l’amélioration continue de la sécurité.
Les grandes tendances à venir ?
Le marché de la cybersécurité explose : +11 % de croissance annuelle, 6,2 milliards d’euros attendus en France dès 2028 ! Les exigences européennes se renforcent (Cyber Resilience Act, NIS2), rendant la certification et la qualification incontournables pour tous les acteurs publics ou critiques.
On s’éloigne des labels figés pour aller vers une surveillance continue, des auto-attestations et des audits dynamiques. La cybersécurité devient un argument commercial autant qu’une obligation réglementaire.
Les éditeurs qui anticipent ces évolutions gagnent en crédibilité, accèdent à plus de marchés et protègent mieux leurs clients face aux cybermenaces.
FAQ
Un certificate of networthiness est-il encore obligatoire aux États-Unis ?
Non, il a été abandonné depuis 2019 au profit de démarches plus souples comme le RMF et l’auto-attestation. Les validations se font désormais par audit continu et conformité aux référentiels de sécurité.
Comment savoir si un produit est qualifié ou certifié par l’ANSSI ?
Consultez le catalogue public de l’ANSSI, régulièrement mis à jour. Vous y trouverez les produits, services, profils de protection et sites qualifiés ou certifiés.
Combien coûte une qualification ou une certification ANSSI ?
Les démarches auprès de l’ANSSI sont gratuites, mais l’évaluation par un laboratoire CESTI se paie : comptez de 20 000 à 200 000 € selon la complexité du produit et le niveau de confiance visé.
Quels avantages pour une entreprise à faire certifier ou qualifier ses produits ?
Cela ouvre l’accès aux marchés publics, rassure les clients et permet de répondre aux appels d’offres exigeant un haut niveau de confiance. C’est aussi un gage de qualité reconnu, en France comme à l’international.