ANSSI
Cet espace comprend les dépôts de différents projets open source maintenus par l’ANSSI.
English readers can check the localized version of this README.
L’open source à l’ANSSI
La stratégie open source de l’ANSSI est détaillée sur son site internet
Types de projets
La stratégie identifie trois catégories de projets publiés sur les dépôts de code de l’ANSSI :
- les projets doctrinaux
(
) diffusant des éléments de doctrine de l’Agence ou en accompagnant la publication :
- démonstrateur technologique,
- implémentation de référence,
- code source ayant servi à réaliser un article scientifique ou à générer des données (artefacts de recherche),
- contenu illustrant concrètement des recommandations de l’Agence (« actionnables »)
- les outils internes
(
) : projets développés pour un besoin interne de l’ANSSI, publiés pour des raison de transparence ou par volonté de partager des ressources utiles à l’écosystème.
- les outils externes
(
: outils mis à disposition des bénéficiaires ou des partenaires de l’ANSSI (comme les CERT), accessibles directement ou à travers des services fournis pas l’Agence.
Niveau d’ouverture
Le document de stratégie catégorise aussi les projets suivant leur « niveau d’ouverture » sur la base de la classification élaborée par la DINUM :
- 📘 Niveau A - contributif
(
) : le code source est publié, les contributions extérieures sont activement recherchées et traitées.
- 📗 Niveau B - ouvert
(
) : le code source est publié, les contributions extérieures sont traitées mais non activement recherchées.
- 📙 Niveau C - publié
(
) : le code source est publié mais les contributions extérieures ne sont pas traitées.
Les projets doctrinaux et les outils internes sont habituellement au niveau C
tandis que les outils externes sont habituellement au niveau B, avec un focus
particulier sur les contributions ayant trait à la sécurité. Chaque projet peut
préciser (par exemple dans un document CONTRIBUTING) les attentes que les
contributeurs éventuels peuvent avoir.
Dépôts de l’ANSSI
Si la plupart des dépôts de l’ANSSI sont hébergés dans l’organisation ANSSI-FR, un certain nombre sont hébergés dans d’autres organisations (regroupement par thématiques, collaborations avec d’autres entités, etc.)
- DFIR-ORC (organisation Github) est un ensemble d’outils de recherche de compromission, utilisés en particulier par la sous-direction des Opérations lors de traitement d’incidents cyber.
- FCSC-FR regroupe les dépôts liés à l’organisation de la compétition French CyberSecurity Challenge (édition 2024), y compris le site d’archives Hackropole.
Le laboratoire d’innovation de l’ANSSI développe des services en lien avec la DINUM, en particulier dans le cadre de l’initiative BetaGouv d’incubation de services numériques. Ces services sont hébergés dans l’organisation Github BetaGouv:
- Mon Service Sécurisé
- Mes Services Cyber
- Mon Aide Cyber
- Mon Espace NIS 2
- Mes Questions Cyber
- Demain Spécialiste Cyber
Evaluations de sécurité de logiciels open source
L’ANSSI mène depuis 2017 des évaluations de sécurité de logiciels open source. Ces évaluations peuvent prendre deux formes. Soit soumettre un logiciel open source au processus devant mener à l’obtention de la Certification de Sécurité de Premier Niveau (CSPN), schéma français faisant partie de la famille des Visas de sécurité de l’ANSSI. Soit des audits « à façon » qui ne donnent pas lieu à la délivrance d’un Visa de sécurité mais dont les résultats ont pour vocation de donner un aperçu de la robustesse d’un logiciel open source aux professionnels de la cybersécurité pour les aider concrètement dans leurs activités opérationnelles (dossier d’homologation, analyse de risque…).
Liste des évaluations de sécurité de logiciels open source financées par l’ANSSI
Contact
La politique de contact des mainteneurs dépend de chaque projet. Celle-ci
peut-être explicitée dans les fichiers README, CONTRIBUTING, SECURITY ou
éventuellement CONTACT de chaque dépôt. Il est aussi possible d’ouvrir des
issues ou des pull requests mais chaque projet est libre de les prendre en
compte ou non (comme explicité dans le document CONTRIBUTING).
Il est possible de contacter l’équipe en charge de l’open-source à l’ANSSI au travers de l’adresse opensource@ssi.gouv.fr mais aucun support ne sera fourni au travers de ce moyen de contact.
Pour tout autre demande, le lecteur est invité à se rendre sur la page « Contacts » du site de l’ANSSI.
En cas d’incident cyber, vous pouvez contacter le CERT-FR.
Projets archivés
L’ANSSI a publié par le passé un certain nombre de projets qui ne sont plus activement maintenus mais qui sont toujours disponibles à des fins de références et inspiration.
On peut trouver en particulier:
- la liste des projets archivés de l’organisation ANSSI-FR
- Wookey (organisation Github)
- LEIA (Lab Embedded ISO7816 Analyzer A Custom Smartcard Reader for the ChipWhisperer)
- CLIP OS (organisation Github et ses archives) était un système d’exploitation durci sur base Linux visant des environnements multiniveaux (cohabitation d’environnement de différents niveaux de sensibilité)