Processus qui consiste à garantir la conformité du produit à ses spécifications. Dans le cadre de l’analyse d’un incident de sécurité, la qualification consiste à déterminer la nature et la gravité* de l’incident. Voir Qualification de produits de sécurité.
Pour aller plus loin
L’objectif de la qualification est de s’assurer qu’un produit de sécurité (matériel ou logiciel) ou qu’un prestataire de services de confiance répond aux besoins de l’administration. Le cadre réglementaire (décret no 2010-112 du 2 février 2010) prévoit que le recours à des produits de sécurité et à des prestataires de services de confiance et qualifiés soit la règle générale pour les administrations, les exceptions devant être justifiées. Pour les produits de sécurité, cette qualification est directement délivrée par l’ANSSI, sur la base d’une certification. On distingue trois niveaux de qualification : élémentaire, standard et renforcé permettant de résister à des attaques de niveau croissant. Pour les prestataires, cette qualification est délivrée par un organisme de qualification accrédité par le COFRAC (Comité Français d’Accréditation) et habilité par l’ANSSI. Les familles de prestataires de services de confiance actuellement qualifiées ou en cours de qualification sont : les prestataires de services de certification électronique, les prestataires d’audit SSI, les prestataires d’informatique en nuage (en cours), les prestataires de détection des incidents de sécurité (en cours) et les prestataires de réponse aux incidents de sécurité (en cours). Le catalogue des produits de sécurité et des prestataires de service qualifiés est publié sur le site Web de l’Agence. Au sein de l’ANSSI, c’est le Bureau Qualifications et Agréments de la Sous-direction Expertise qui remplit ces missions .
Qualification de produits de sécurité Dans le cadre de ses missions, l’Agence Nationale de la Sécurité des Systèmes d’Information procède à la qualification de produits de sécurité. Il s’agit de conduire un processus pour garantir la conformité du produit par rapport à ses spécifications de sécurité. La démarche permet de recenser les vulnérabilités d’un produit et de tester les contournements possibles des fonctions de sécurité. L’ANSSI présente le processus comme suit : La qualification de produits de sécurité fait l’objet du chapitre III du décret n° 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 20005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les autorités administratives et les usagers. Elle permet d’attester de la conformité d’un produit de sécurité au RGS (dont la première version en entrée en vigueur le 6 mai 2010 par arrêté du Premier ministre). Elle prévoit trois niveaux de qualification, un niveau élémentaire, un niveau standard et un niveau renforcé .
(Quality of service – QOS) En matière de télécommunications, la qualité de service désigne la capacité à fournir un service conforme aux exigences techniques du dit service (il peut ainsi s’agir de la mesure du temps de réponse et de la bande passante* notamment). Sur un plan technique les principaux critères de QoS sont le débit, la gigue*, la perte de paquet, et le déséquencement. La notion de qualité de service est parfois peu précise lorsqu’elle est utilisée dans un contexte marketing qui fait référence à « l’expérience utilisateur » et sa perception du service rendu (ex : le service client, la réponse aux incidents etc.). L’usage est rendu encore plus complexe par l’apparition de l’expression anglaise quality of expérience qui recouvre les aspects techniques du service. La qualité de service dans un réseau permet de classer les différents types de trafic (on parle alors de classes de services – Class of Service - CoS) et permet de garantir un service.
Les trois principaux niveaux de QoS sont ainsi : • best effort (meilleur effort), ce niveau ne fournit aucune garantie, il n’y a pas de différenciation des flux réseaux ; on parle également de lack of QoS ; • differenciated service (service différencié) qui permet de prioriser les différents flux (sans stricte garantie). Ainsi il est possible de privilégier un flux voix par rapport à un flux donnée (data). On parle également de soft QoS ; • guarented service (service garanti) dans lequel les flux sont priorisés et des ressources sont réservées pour garantir un niveau de service ; on parle également de hard QoS. En France, une décision de l’ARCEP, en application d’une directive européenne antérieure, impose aux opérateurs* (de plus de 100 000 abonnés) au service fixe de mettre à disposition du public les résultats des mesures de qualité de service de leur réseau (ainsi que les indicateurs utilisés et une synthèse des systèmes de mesure utilisés). Ces derniers peuvent être consultés sur le site Internet de l’ARCEP.
(Quantizing) Action qui consiste à transformer la valeur instantanée d’un signal analogique par une valeur transformée fixe proche de la valeur instantanée. Dans le traitement d’un signal, et typiquement pour la conversion d’un signal analogique* en un signal numérique*, il s’agit de remplacer la suite de valeurs instantanées dans un intervalle continu par une suite de valeur discrètes approchante. La quantification est nécessaire pour la conversion analogique – numérique (numérisation*) mais également pour tous les systèmes de compression d’image ou de signaux audios. Cette opération s’accompagne nécessairement d’une perte d’information, le signal quantifié étant « proche » du signal source mais néanmoins différent. Cette erreur induite par la quantification est appelée distorsion. Voir Numérisation, Shannon (Théorème).