DOSSIER

Qu'attendre de la certification en matière de QoS ?

Dans un marché où l'offre de services prend des formes toujours plus variées , l'utilisateur attend un véritable engagement des fournisseurs sur la qualité de ces services.

Dans ce contexte , les fournisseurs mettent en avant des certifications , labellisation s et autres attestations mais quelles garanties sont elles ainsi vraiment apportées ?

Ces quelques lignes n'ont pas pour objet de proposer un cours sur la certification et autres labels mais de donner quelques repères à l'utilisateur sur ce qu'il peut en attendre. Elles sont largement inspirées d'un document aimablement mis à disposition par Armelle TROTIN - Présidente du LSTI et comprennent de nombreux extraits de divers documents émanant du MINEFI, de l'AFNOR, de l'ISO ou autres organismes officiels traitant du sujet.

1. Qu'est ce que la certification ?

La certification est une procédure par laquelle une tierce partie, l'organisme certificateur, donne une assurance écrite qu'un système d'organisation, un processus, une personne, un produit ou un service est conforme à des exigences spécifiées dans une norme ou un référentiel .
La certification est un acte volontaire destiné à établir la confiance dans les relations des fournisseurs avec leurs clients. Elle est délivrée par des organismes certificateurs indépendants des entreprises certifiées ainsi que des pouvoirs publics.

2. Les autres références

2.1. Labels

On peut rencontrer des démarches de type « label ». Elles ne constituent pas des certifications. Ces pratiques ne sont pas encadrées par des dispositions réglementaires mais sont licites tant qu'elles n'induisent pas de confusion avec une véritable certification dans l'esprit du public.

2.2 Marquage CE

Il convient de distinguer la certification volontaire du marquage CE. Ce dernier est obligatoire pour les produits relevant d'une directive européenne « Nouvelle Approche » et confère à ces produits le droit de libre circulation dans tous les pays de l'espace économique européen. Pour apposer le marquage CE sur ses produits, le fabricant doit réaliser ou faire réaliser les contrôles et essais qui lui permettent d'en vérifier la conformité, aux exigences définies dans la ou les directives concernées.

Un marquage CE n'est pas une marque de qualité : il est destiné aux services de contrôle du marché et non pas aux consommateurs. Autre différence importante, les conditions d'apposition du marquage CE sont définies dans chaque directive, elles n'impliquent l'intervention d'un organisme tiers que pour les produits présentant des risques graves.

Sous certaines conditions, la certification de produits peut se maintenir, dans les domaines couverts par le marquage CE. Les marques de conformité à des normes ou spécifications techniques doivent dans ce cas apporter une valeur ajoutée par rapport aux procédures réglementaires (conditions d'installation, suivi de fabrication, aptitude à l'emploi…) non prévues par les directives. C'est alors au marché de juger de la valeur de ces marques.

2.3 Keymark

La Keymark est une marque de certification européenne volontaire qui atteste de la conformité des produits à des normes européennes afin de répondre aux besoins des entreprises dont le marché est européen. Elle doit être obligatoirement apposée à côté d'une marque de certification nationale délivrée par un organisme certificateur autorisé par le Comité européen de Normalisation (CEN).

3 Les différents domaines de certification

3.1La certification ISO 9001

La certification ISO 9001 d'une entreprise garantit que son système de management de la qualité est fondé sur des principes dont l'« approche processus » et l'« orientation client » sont les plus importants. Elle est délivrée sur la base de la conformité à la norme internationale ISO 9001. C'est avant tout un outil de confiance entre clients et fournisseurs.

3.2 La certification ISO 14001

Elle permet à une entreprise de faire attester la conformité de sa politique et de ses processus aux exigences relatives à l'élaboration, la mise en oeuvre, la maintenance et l'évaluation d'un système de management environnemental.

3.3 La certification ISO 20000

Elle permet à une entreprise de faire attester la conformité de sa gestion de la fourniture des services dans le domaine des technologies de l'information est conforme à la norme ISO 20000 et en conséquence capable d'assurer la qualité de service attendue par le consommateur.

3.4 La certification ISO 27001

Cette certification atteste de la mise en place au sein de l'organisme d'une organisation efficace et de procédures adaptées visant à la sécurité de la l'information : celle de l'organisme en question (brevet, secrets industriels), celle de ses partenaires (accord financiers et stratégiques) et de ses clients (données personnelles, données financières, etc.).

3.5 La certification de personnel

Elle atteste la compétence de professionnels pour accomplir des tâches déterminées au regard de critères préétablis. Elle vise à fournir aux clients une base d'appréciation plus objective sur la qualification professionnelle des individus.

3.6 La certification de produits et de services

La certification de produits et de services date, en France de 1964 avec le déploiement des labels qualité. Toutefois, c'est la loi Scrivener (loi 78-23 du 10 janvier 1978) relative à la protection et l'information des consommateurs de produits et de services qui défini pour la première fois le cadre réglementaire qui s'impose à l'ensemble des acteurs de la certification de produits et de services et en particulier aux organismes certificateurs. Cette loi est remplacée en 1993 par le code de la consommation qui en assouplit les règles et diminue le poids de l'Etat dans le dispositif, vu comme une entrave au principe de libre circulation des biens dans la communauté européenne.

La certification de produits et de services est donc aujourd'hui encadrée par le code de la consommation. Seuls les organismes déclarés auprès du Ministère de l'industrie peuvent prétendre à l'appellation d'organismes certificateurs. Ce cadre réglementaire contraignant est propre à la France et unique au niveau international. Il assure au consommateur d'être acteur dans la définition des exigences de qualité, de fiabilité et de sécurité du produit ou service qu'il est susceptible d'acheter.

Toute activité de certification de produits et de services qui n'est pas déclarée au ministère de l'Industrie est considérée comme de la labellisation ou de la qualification non encadrée par des normes.

4. Qu'est ce que la certification de produits industriels et de services

L'article L115-27 du code de la consommation définit la certification en ces termes :

« Constitue une certification de produits ou de services soumise aux dispositions de la présente section l'activité par laquelle un organisme, distinct du fabricant, de l'importateur, du vendeur ou du prestataire, atteste, à la demande de celui-ci effectuée à des fins commerciales, qu'un produit ou un service est conforme à des caractéristiques décrites dans un référentiel et faisant l'objet de contrôles. Le référentiel est un document technique définissant les caractéristiques que doit présenter un produit ou un service et les modalités du contrôle de la conformité du produit ou du service à ces caractéristiques. »

4.1 Qui peut certifier ?

L'article L115-28 stipule lui :

« Peuvent seuls procéder à la certification de produits ou de services les organismes qui ont déposé auprès de l'autorité administrative une déclaration relative à leur activité et contenant notamment toutes les informations nécessaires en ce qui concerne les mesures destinées à garantir leur impartialité et leur compétence. Les organismes qui bénéficient d'une accréditation par une instance reconnue à cet effet par les pouvoirs publics sont dispensés de fournir ces dernières informations.»

L'instance reconnue en France est le Comité Français d'Accréditation COFRAC . Outre la simplification des démarches auprès du ministère de l'Industrie, l'accréditation permet la reconnaissance des certificats à l'extérieur des frontières. L'accréditation consiste en la confirmation que l'organisme certificateur respecte les règles internationales en matière de certification de conformité, et en particulier son indépendance et sa compétence dans le domaine considéré.

A la fin de l'année 2004, 44 organismes certificateurs étaient déclarés et 649 référentiels dans des domaines très variés étaient publiés au Journal Officiel. La propriété de la majorité de ces référentiels étant répartie entre l'AFNOR certification et la société SGS.

4.2 Principes de la Certification de Services

La Certification de Services apporte la preuve officielle des moyens mis en oeuvre par un fournisseur pour proposer à ses clients un niveau de qualité prédéfini.

Faire certifier un service, c'est offrir une garantie impartiale en proposant un véritable engagement de contrôle et de résultat.

• La Certification de Services s'intègre dans une démarche qualité collective : groupement d'entreprises ayant une même activité et/ou filière (intégration de l'amont vers l'aval).
• Cette certification est encadrée par le Ministère de l'Économie, des Finances et de l'Industrie dans le cadre des certifications de services prévues par la loi N° 94-442 du 3 juin 1994 et par le Code de la Consommation.
• Elle repose sur la rédaction d'un référentiel qui précise des caractéristiques certifiables.

Le certificat est l'aboutissement de cet engagement et permet au fournisseur de communiquer sur sa démarche.

4.3Principes de la Certification de Produits

La Certification de Produits est relativement similaire à la Certification de Services et il ne faut pas la négliger dans la mesure où la qualité des services est souvent étroitement liée aux caractéristiques des équipements de l'utilisateur, en particulier dans le domaine des télécommunications. Dans ce dernier cas, la certification s'appuie le plus souvent sur les normes européennes émanant de l'ETSI, les recommandations internationales de l'UIT-T ou les standards IETF dans l'environnement Internet voire des standards propriétaires (Hayes, WiFi, Bluetooth, etc.).

5. Le référentiel de certification.

Un référentiel est un document technique définissant les caractéristiques que doit présenter un produit industriel ou un service et les modalités du contrôle de la conformité à ces caractéristiques.

Un référentiel est élaboré et validé en concertation avec des représentants des diverses parties intéressées : professionnels, consommateurs ou utilisateurs, administrations concernées.

Un référentiel peut s'appuyer sur une norme, c'est-à-dire sur un document destiné à servir de référence, élaboré par les parties intéressées par consensus. Dans ce cas, la marque collective de certification est, en France, la marque NF.

Chaque référentiel de certification définit son propre champ d'application et comporte :

• Les caractéristiques retenues pour décrire les produits ou les services qui feront l'objet de contrôles, les valeurs limites des caractéristiques éventuellement exigées pour la certification et les modalités retenues pour classer ces produits ou ces services en fonction de leurs caractéristiques ;
• La nature et le mode de présentation des informations considérées comme essentielles et qui doivent être portées à la connaissance des consommateurs ou des utilisateurs ;
• Les méthodes d'essais, de mesure, d'analyse, de test ou d'évaluation utilisées pour la détermination des caractéristiques certifiées et qui, dans la mesure du possible, devront se référer aux normes homologuées existantes ;
• Les modalités des contrôles auxquels procède l'organisme certificateur et ceux auxquels s'engagent à procéder les fabricants, importateurs, vendeurs des produits ou prestataires des services faisant l'objet de la certification ;
• Le cas échéant, les engagements pris par les fabricants ou prestataires concernant les conditions d'installation des produits ou d'exécution des services certifiés, les conditions du service après-vente et de la réparation des préjudices causés aux utilisateurs ou consommateurs par la non-conformité du produit ou du service aux caractéristiques certifiées.

Le périmètre sur lequel porte l'audit est également un point important du référentiel.

L'existence d'un référentiel est mentionnée au Journal Officiel et il est toujours possible de le consulter gratuitement auprès de l'organisme certificateur.

6. Modalités de la certification

D'une façon générale, la certification est accordée à partir d'audits menés par un organisme certificateur qui permettent de vérifier la conformité aux exigences spécifiées. Un audit initial permet d'attribuer la certification pour une durée déterminée. Il est suivi d'audits de surveillance et d'audit de renouvellement périodiques. Chacun de ces audits peut donner lieu à des remarques ou à des non-conformités mineures en matière de documentation ou d'application qui doivent être corrigées dans un délai déterminé sous peine de suspension ou de retrait de la certification.

Selon le type de certification considéré, différents certificats peuvent être délivrés par un organisme certificateur.

6.1 Certificat de conformité

Le certificat de conformité atteste la satisfaction à des exigences spécifiées : caractéristiques publiées et/ou spécifications internes. Par rapport à la certification de service proprement dite un tel certificat peut être ponctuel et ne donne pas alors pas d'indication sur la pérennité de la conformité.

6.2 Certification de service

Dans la mesure où la certification de service s'inscrit dans une démarche qualité, elle sous-entend une surveillance de la conformité réalisée par des audits périodiques.

6.3 Certificats électroniques

Dans le domaine de la sécurité des systèmes d'information et ene particulier de l'authentification et de la signature électronique, des certificats électroniques sont délivrés par le tiers de confiance prestataire. La fourniture de ces certificats peut faire l'objet d'une certification du prestataire qu'il ne faut pas confondre avec les certificats électroniques eux-mêmes.

7. Certification et qualité

Qualité et certification apparaissent le plus souvent comme complémentaires car la certification permet à une entreprise de valoriser les efforts qu'elle a accomplis dans le sens de la qualité.

Une démarche qualité n'a pas pour autant toujours pour but de rechercher une certification.

L'obtention d'une certification n'est pas non plus forcément un gage de la qualité des produits ou des services offerts par l'entreprise puisqu'elle constate la conformité à des « exigences spécifiées » qui peuvent être fixées à un niveau qui ne correspond pas aux attentes des consommateurs. D'où l'importance cruciale du référentiel sur lequel s'appuie la certification.

En particulier, la certification ISO 9000, si elle garantit la conformité du management de la qualité, d'un processus voire d'une entreprise, elle ne garantit pas strictement, la conformité des produits ou des services élaborés par le processus (l'entreprise) à une quelconque spécification.

Pour la qualité des services, la certification est particulièrement intéressante en matière de sécurité des technologies de l'information et de qualité de la facturation . En effet dans ces deux domaines où les statistiques de qualité de service sont difficilement réalisables, la certification peut donner à l'utilisateur une garantie que les bonnes pratiques sont mises en oeuvre pour atteindre le niveau de qualité souhaitable, à condition ici encore que le référentiel soit adéquat.

8. Le domaine de la sécurité des technologies de l'information

Pour des raisons historiques liées à la non-libéralisation de la cryptographie, la certification de la sécurité des produits des technologies de l'information est restée sous le contrôle de l'état et par conséquent, n'entre pas dans le champ d'application du code de la consommation. Ce schéma de certification « étatique » est décrit dans le décret 2002-535 qui définit les conditions dans lesquelles l'évaluation et la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information peuvent être effectuées. Les certificats de conformité sont émis par le Premier ministre : c'est la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information), service du SGDN (Secrétariat Général pour la Défense Nationale) qui instruit les dossiers. Les certificats sont émis au vu des résultats d'évaluation menées par des laboratoires appelés CESTI (Centre d'Evaluation de la Sécurité des Technologies de l'Information) agrées par la DCSSI. Il existe à l'heure actuelle cinq laboratoires agréés : Le CEA LETI de Grenoble, SERMA technologies à Bordeaux, CEACI (TES-CNES) à Toulouse, Silicomp AQL à Rennes et Oppida à St Quentin en Yvelines. Les trois premiers sont spécialisés dans le domaine des cartes à microprocesseurs, les deux autres dans le domaine logiciel, informatique et réseaux.

En France, LSTI organisme certificateur spécialisé en sécurité de l'information offre des certifications de type ISO 27 001, qualification des prestataires de certification électronique et certification de compétences.

En Allemagne, aux Etats-Unis et en Grande-Bretagne, des sociétés commerciales accréditées proposent la certification de produits selon des normes ou des cahiers des charges élaborés par les acteurs du marché.

8.1 Les normes

Il existe très peu de normes pouvant permettre la certification dans ce domaine. La plus connue est la norme IS 15408 appelée Critères Communs. Développée et maintenue par un groupe de représentants des agences nationales de sécurité dont les principales sont le NIAP (NSA, NIST) agence US, le CESG agence britannique, le BSI agence allemande et la DCSSI agence française), cette norme est utilisée depuis près de cinq ans par ces mêmes organismes pour certifier des produits de sécurité tels que firewall, antivirus, garde barrière etc. En France, ce sont en grande majorité les cartes à puce qui font l'objet de cette certification et majoritairement pour des applications bancaires. Cette norme, non encore traduite en français est jugée complexe, son appréhension reste le privilège des seuls initiés et le coût de la certification est élevé.

La norme FIPS 140-2 est destinée à l'évaluation des modules cryptographiques. C'est une norme américaine qui a été portée à la normalisation internationale il y a quelques années et qui ne devrait pas tarder à être publiée par l'ISO. Jusqu'à aujourd'hui, seuls les Etats-Unis et le Canada peuvent certifier selon cette norme.

La norme IS 19792 non encore publiée par l'ISO est destinée à l'évaluation de la biométrie. Aujourd'hui, seuls des laboratoires américains sont compétents pour évaluer cette technologie dont la France pourtant et encore une fois est le leader mondial.

8.2 Les nouveaux développements

Les nouvelles technologies et l'essor des moyens de communication nous apportent des possibilités de simplification importante dans notre vie quotidienne : administration électronique, télédéclaration en ligne pour les citoyens et les entreprises (fiscales, sociales), carte de vie quotidienne, passeports et visas électroniques. Tous ces moyens ont des exigences de sécurité tels que l'authentification, l'horodatage, la signature électronique. Ils requièrent si besoin est, le respect de l'anonymat et des données personnelles.

La directive européenne 1999/93/CE du 13 décembre 1999 relative à un cadre communautaire pour la signature électronique illustre un premier cas de prise en compte de cette problématique. Traduite en droit français dans le décret 2002-272 du 30 mars 2001 et dans l'arrêté du 26 juillet 2004, elle donne pouvoir à l'Etat (DCSSI) de certifier la conformité des produits de signature électronique dans le cadre du décret 2002-535.

En ce qui concerne l'identité numérique, il apparaît que rien n'est définit en terme de certification. Chaque ministère lance ses appels d'offre selon des exigences qui lui sont propres et sur lesquelles le citoyen n'est pas consulté.

8.3 L'impact du code de la consommation

En effet, la certification, dans le code de la consommation a pour principal objectif la protection et l'information du consommateur sur le produit acheté. Forte de cette dernière assertion et puisque le citoyen n'a pas le choix dans son moyen d'identification pour les applications sensibles telles que l'identité numérique, la carte citoyen ou le dossier médical partagé, l'administration en charge de l'application du code de la consommation considère que la certification de tels produits n'entre pas dans le champ du code de la consommation. La seule alternative est donc la « labellisation » non encadrée, non contrôlée ou la certification par l'Etat. Où placera-t-on alors le consommateur citoyen, ses préoccupations, ses droits (informatiques et libertés ?) ; quels moyens aura-t-il pour exprimer ses exigences en matière de sécurité ?

8.4 La certification de systèmes de management

Ce type de certification n'est pas encadré, en France, par des textes réglementaires. Cette certification recouvre la certification ISO 9000, ISO 14000, ISO/CEI 27001 voire d'autres normes pour des domaines spécifiques.
La certification ISO/CEI 27001 connaît un essor fulgurant au niveau international :

Source : ISO27001certificates.com

Cette certification peut apporter des preuves de conformité pour des industries ou des sociétés devant répondre aux exigences de la loi Sabannes-Oxley ou Bâle II. Elle apporte également des éléments de confiance pour le client pour certaines activités telles que les hébergeurs ou les archiveurs.

Certains appels d'offre imposent sinon la certification à la norme, du moins la conformité.

C'est la norme ISO 9000 de la sécurité. Son développement devrait connaître le même type de développement que cette dernière.

8.5  La certification de compétences ou de personnel

C'est le troisième axe de la certification. Celui-ci permet d'attester la compétence et les capacités de personnes, là ou n'existent pas de diplômes. Il existe plusieurs certifications de compétences dans le domaine de la sécurité (certification sous accréditation IS 17024) :

• la certification CISSP : elle est dispensée par l'association ISSA et basée sur le résultat d'un examen faisant suite à une formation. La certification est délivrée sous accréditation du NIST selon la norme IS 17024.
• la certification « lead auditor IS 27001» dans certains cas reconnus par l'IRCA. Plusieurs organismes ^proposent cette certification au niveau mondial.

9.  Le domaine de la qualité de la facturation

Ce domaine en est encore aux premiers balbutiements. En Europe, seules l'Allemagne et la Grande Bretagne ont développé un schéma de certification visant à assurer le consommateur de l'exactitude du système de comptage et de facturation du fournisseur. Au Royaume Uni il s'appuie sur la norme EN 45011 et sur un référentiel spécifique ( The Oftel Metering and Billing Direction) .

En Allemagne, le régulateur a entrepris une démarche similaire sur la base du document Administrative Order 17/2001 .

En France, rien de semblable n'a encore été ébauché.

10. Conclusions

La certification de conformité est encore très mal appréhendée en France tant par les pouvoirs publics que par les consommateurs en particulier dans le domaine de la sécurité de l'information.

Toutefois, si la certification n'est certes pas comme indiqué plus haut une garantie absolue de qualité, elle manifeste néanmoins la volonté du fournisseur de produire un produit ou service de qualité, dans la mesure où le référentiel correspond bien aux attentes des consommateurs.

En ce sens, elle constitue pour le fournisseur un atout concurrentiel et pour le consommateur sinon une garantie au moins un gage de qualité.

Annexe 1 : Sigles couramment utilisés dans les domaines de la certification et de la sécurité de l'information

Mots clé

Liens utiles