Analyste en cybersécurité examinant un certificat de networthiness sur des écrans de conformité logicielle dans une salle serveur
Sécurité

Certificate of Networthiness et sécurité logicielle : quels bénéfices concrets ?

Le Certificate of Networthiness (CoN) a longtemps constitué le passage obligé pour tout éditeur logiciel souhaitant déployer une solution sur les réseaux de l’US Army. Ce certificat validait la conformité technique et la sécurité d’un produit avant sa mise en production dans un environnement militaire.

Sommaire
Certificate of Networthiness : ce que le dispositif vérifiait réellementBénéfices sécurité logicielle du CoN pour les entreprisesTransition vers le RMF et fin programmée du Certificate of NetworthinessPourquoi le RMF remplace le CoN dans la gestion du risqueSécurité logicielle et conformité : ce qui reste pertinent après le CoNQuel avenir pour la certification en cybersécurité réseau

Avec la transition programmée vers le Risk Management Framework (RMF) et les autorisations ATO (Authority to Operate), la question des bénéfices concrets du CoN se pose sous un angle différent : celui d’un dispositif en fin de cycle, dont la valeur résiduelle mérite d’être examinée sans complaisance.

A lire aussi : Mesure de sécurité : définition, importance et exemples pratiques

Certificate of Networthiness : ce que le dispositif vérifiait réellement

Le CoN ne se résumait pas à un tampon administratif. La procédure imposait un audit réseau complet du logiciel candidat, couvrant l’architecture de communication, la gestion des ports, la compatibilité avec les protocoles de sécurité en vigueur sur les réseaux militaires américains.

Pour un éditeur, obtenir ce certificat signifiait avoir soumis son produit à une batterie de contrôles portant sur la vulnérabilité du code, la robustesse des mécanismes d’authentification et la capacité du logiciel à fonctionner sans dégrader les performances réseau existantes. L’objectif affiché était double : protéger l’infrastructure et garantir l’interopérabilité.

A lire aussi : Système de sécurité périmétrique : rôle, fonctionnement et importance

Le reproche récurrent adressé au CoN portait sur son caractère statique. Une fois délivré, le certificat ne tenait pas compte de l’évolution du logiciel ni de l’apparition de nouvelles menaces. Un produit certifié pouvait rester déployé pendant des années sans réévaluation formelle, ce qui limitait la portée réelle de la protection offerte.

Directrice informatique présentant les bénéfices du certificat de networthiness lors d'une réunion de conformité logicielle

Bénéfices sécurité logicielle du CoN pour les entreprises

Du point de vue d’un éditeur ou d’une entreprise fournissant des solutions au secteur de la défense, le CoN apportait plusieurs avantages concrets, même si leur périmètre restait circonscrit.

  • Un signal de conformité informatique reconnu par les directions IT de la défense américaine, facilitant l’accès à des marchés publics exigeants en matière de cybersécurité réseau.
  • Une validation technique indépendante du logiciel, qui pouvait servir de référence lors de négociations avec d’autres clients gouvernementaux ou industriels sensibles.
  • Un cadre d’audit structuré obligeant les équipes de développement à documenter leurs choix d’architecture et à corriger les vulnérabilités identifiées avant le déploiement.
  • Une réduction du risque juridique pour le donneur d’ordre militaire, qui disposait d’une preuve formelle de diligence en matière de sécurité.

Ces bénéfices avaient une limite claire : le CoN ne garantissait la sécurité qu’à un instant donné. Les menaces évoluant plus vite que les cycles de certification, l’écart entre la conformité documentaire et la posture de sécurité réelle pouvait se creuser rapidement.

Transition vers le RMF et fin programmée du Certificate of Networthiness

L’US Army CIO a acté le remplacement progressif du CoN par le Risk Management Framework issu des travaux du NIST. Ce basculement n’est pas anodin : il traduit un changement de philosophie dans la gestion de la sécurité des systèmes d’information militaires.

Le RMF repose sur une évaluation continue du risque, là où le CoN fonctionnait par validation ponctuelle. Concrètement, à partir de 2025, les exigences RMF gouvernent la préparation des déploiements. Et dès 2026, l’US Army ne prend plus en compte le CoN pour tout nouvel outil ou déploiement. Les éditeurs qui misaient sur ce certificat comme avantage concurrentiel doivent revoir leur stratégie de conformité.

Pourquoi le RMF remplace le CoN dans la gestion du risque

Le dispositif CoN était jugé trop documentaire par les autorités militaires. Un dossier volumineux ne reflétait pas nécessairement une posture de sécurité solide. Le RMF impose un suivi dynamique, avec des contrôles réguliers et une capacité à révoquer l’autorisation d’exploitation (ATO) si le niveau de risque dépasse un seuil acceptable.

Pour les entreprises du secteur, cette transition modifie la nature même du bénéfice recherché. La valeur ne réside plus dans l’obtention d’un certificat, mais dans la capacité à maintenir une conformité continue. Cela exige des outils de gestion des vulnérabilités, des plateformes de surveillance en temps réel et une organisation interne capable de réagir rapidement aux alertes.

Ingénieur logiciel vérifiant un audit de sécurité et les étapes de validation d'un certificat de networthiness

Sécurité logicielle et conformité : ce qui reste pertinent après le CoN

La disparition programmée du CoN ne rend pas caduque l’ensemble de ses apports. Les entreprises qui ont traversé le processus de certification en retirent un socle méthodologique transférable vers le RMF ou vers d’autres référentiels de sécurité.

L’audit d’architecture réseau, la documentation des flux de données, l’analyse des vulnérabilités du code : ces pratiques restent au coeur de toute démarche de sécurité logicielle sérieuse. Le CoN a structuré des habitudes d’ingénierie de sécurité chez les éditeurs qui s’y sont soumis, et ce capital ne disparaît pas avec le certificat.

En revanche, les retours terrain divergent sur un point : la lourdeur administrative du CoN a-t-elle réellement amélioré la sécurité des déploiements, ou a-t-elle simplement retardé la mise en production de solutions parfois urgentes ? Les données disponibles ne permettent pas de trancher de façon définitive. Certains acteurs du secteur rapportent des délais de plusieurs mois pour des certifications qui n’ont pas empêché des incidents post-déploiement.

Quel avenir pour la certification en cybersécurité réseau

Le mouvement de fond dépasse le seul périmètre militaire américain. Les entreprises opérant dans des secteurs sensibles (énergie, finance, santé) observent la même tendance : les certifications ponctuelles cèdent du terrain face aux approches de conformité continue. Les solutions SaaS de gestion des risques et les plateformes de surveillance automatisée deviennent des outils centraux dans cette évolution.

Pour un éditeur logiciel, la question n’est plus de savoir s’il faut obtenir un certificat, mais de démontrer en permanence que sa solution reste conforme aux exigences de sécurité en vigueur. Cette posture, parfois qualifiée de « compliant by design », suppose d’intégrer les contrôles de sécurité dès la phase de conception, et non comme une étape finale avant livraison.

Le Certificate of Networthiness aura marqué une étape dans la structuration de la sécurité logicielle au sein de la défense américaine. Ses bénéfices concrets, réels mais bornés dans le temps, trouvent aujourd’hui leur prolongement naturel dans le RMF.

Les entreprises qui tirent le meilleur parti de cette transition sont celles qui avaient déjà dépassé la logique du certificat pour adopter une gestion vivante du risque, avec des outils de mesure et de réaction adaptés à un paysage de menaces en mouvement permanent.

Ne ratez rien de l'actu

Banner Instagram
High-Tech 10 Min Read

Spotify and Co : Les 3 meilleures applications de streaming musical testées

Le lecteur MP3 a fait son temps depuis longtemps. De nos jours, la musique vient des

Drei iPhones
High-Tech 3 Min Read

Arrêt des ventes Apple : Plus d’iPhone 7 et 8 en magasin

Jusqu'à nouvel ordre, il y aura un arrêt de vente Apple en Allemagne : Les modèles

Samsung Galaxy S10 Banner
High-Tech 6 Min Read

Samsung Galaxy Fold : A quoi cela sert-il ?

Samsung arrive le premier. Lors du "Unpacked Event" de la série Galaxy S10, les Sud-Coréens surprennent

Recherche

L’actualité sans pause