Google Fonts
Catalogue ANSSI 2026 : comment choisir ses solutions de cybersécurité les yeux ouverts
2026-05-28Réglementaire7 min

Catalogue ANSSI 2026 : comment choisir ses solutions de cybersécurité les yeux ouverts

Face aux cyberattaques, choisir un produit ou un prestataire sur la seule foi de leur documentation commerciale est un risque. Le catalogue officiel ANSSI, mis à jour chaque mois, existe justement pour ça.

ANSSICertificationQualificationSecNumCloudCybersécuritéPASSI

Disclaimer : cet article propose une lecture pratique. Il ne remplace pas un conseil juridique.

Pourquoi ne pas se contenter de la parole d'un éditeur

Face à l'explosion des ransomwares, de l'espionnage industriel et des compromissions de serveurs, les entreprises et administrations ont besoin d'une garantie objective et impartiale sur les solutions qu'elles achètent ou déploient.

Le problème, c'est que n'importe quel éditeur peut se déclarer "sécurisé". Les brochures commerciales se ressemblent toutes.

C'est là qu'intervient l'ANSSI (Agence nationale de la sécurité des systèmes d'information), autorité nationale française en matière de cybersécurité. À travers ses processus de certification et de qualification, l'État joue le rôle de tiers de confiance. Son catalogue officiel, mis à jour au moins une fois par mois, liste toutes les solutions actuellement valides.

Point clé : le catalogue ANSSI ne remplace pas votre analyse de risque, mais il élimine d'emblée les solutions non éprouvées.

1) Certifié vs Qualifié : la nuance qui change tout

C'est la distinction la plus importante à comprendre avant d'utiliser ce catalogue.

La Certification — l'assurance de la robustesse

Elle atteste qu'un produit ou service a été évalué par un laboratoire indépendant et qu'il est conforme à un cahier des charges de sécurité précis. En pratique, cela signifie : le produit fait ce qu'on lui demande et a résisté aux tests d'attaque réalisés à un instant T.

Il existe deux grandes familles de certifications de produits :

  • Critères Communs (CC / EUCC / SOG-IS) : norme internationale et européenne pour les produits de haute sécurité (pare-feux, HSM, cartes à puce, solutions VPN…). Elle définit différents niveaux d'assurance (EAL). C'est la référence pour les contextes les plus sensibles.
  • CSPN (Certification de Sécurité de Premier Niveau) : alternative française plus rapide et plus agile. Elle évalue la robustesse d'un produit face à un attaquant d'un niveau défini et dans un temps limité. Pertinente pour des produits moins critiques ou à cycle de mise à jour court.

La Qualification — la recommandation par l'État

C'est un cran au-dessus. La qualification est une décision de l'ANSSI qui ajoute, à la robustesse technique, une notion de confiance globale, de souveraineté et d'adéquation aux exigences réglementaires françaises — notamment pour les OIV (Opérateurs d'Importance Vitale) et les entités soumises au ReCyF.

Elle implique une analyse de la robustesse opérationnelle et de la pérennité du fournisseur, pas seulement du produit.

Règle simple : certification = le produit tient ses promesses. Qualification = l'État vous recommande ce prestataire ou ce produit pour vos contextes sensibles.

2) Structure du catalogue : 4 familles à connaître

Le catalogue ANSSI est organisé en quatre grandes catégories :

  1. Les Produits : matériels, logiciels, pare-feux, suites cryptographiques, tokens, solutions VPN, etc.
  2. Les Services : prestataires d'audit, de détection, de réponse à incident, d'informatique en nuage.
  3. Les Profils de Protection : les exigences de sécurité types par catégorie de technologie (ce qu'on attend d'un produit de ce type).
  4. Les Sites : centres de développement ou usines dont la sécurité physique et logique a été auditée (ex. : sites de fabrication de puces sécurisées).

3) Les labels services : décrypter les acronymes

Pour les entreprises cherchant des prestataires de confiance, la section "services" est souvent la plus utile. Voici les principaux labels à connaître :

Services de cybersécurité

  • PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) : tests d'intrusion, audits de configuration, audits d'architecture. C'est la référence pour valider la robustesse de vos systèmes avec un regard indépendant.
  • PRIS (Prestataire de Réponse aux Incidents de Sécurité) : les "pompiers" du cyber. Ils interviennent lors d'une compromission active pour contenir, analyser et remédier.
  • PDIS (Prestataire de Détection des Incidents de Sécurité) : la surveillance continue via des SOC qualifiés. Ils analysent les événements de sécurité en temps réel.
  • PACS (Prestataire d'Accompagnement et de Conseil en Sécurité) : assistance stratégique, aide à la rédaction de PSSI, accompagnement en gouvernance.

Services de confiance numérique (règlement eIDAS)

  • Identification électronique, vérification d'identité à distance (PVID), signature et cachet électroniques qualifiés, horodatage.
  • À connaître si vous déployez des processus d'onboarding numérique ou de signature contractuelle.

SecNumCloud — le label pour le cloud souverain

C'est le label le plus exigeant pour l'informatique en nuage. Il garantit :

  • une protection contre les lois extraterritoriales (notamment le Cloud Act américain),
  • une localisation des données en France,
  • un niveau de sécurité opérationnelle validé,
  • une maîtrise de la chaîne d'approvisionnement du fournisseur.

Pour toute donnée sensible hébergée en cloud (RH, données de santé, systèmes industriels critiques, vidéoprotection d'infrastructures sensibles), SecNumCloud est la référence à exiger contractuellement.

4) Le système de recommandation à 3 niveaux

Pour faciliter la lecture, l'ANSSI applique un indicateur de prescription en 3 niveaux :

| Niveau | Signification | Ce que ça implique | | --------------- | ---------------------------------- | ----------------------------------------- | | Optimal ✅ | Recommandé sans réserve | Cible idéale pour tout nouveau projet | | Modéré ⚠️ | Acceptable si déjà déployé | Ne pas choisir pour un nouveau projet | | Critique 🔴 | Acquisition fortement déconseillée | Retrait ou remplacement rapide recommandé |

Ce système est particulièrement utile lors des renouvellements de contrat : si votre solution passe en "Modéré" ou "Critique", c'est un signal d'alerte à intégrer dans votre analyse de risque.

5) Comment utiliser concrètement ce catalogue

Voici 4 réflexes à adopter :

  1. Avant d'acheter un produit de sécurité (antivirus, EDR, pare-feu, VPN, solution de chiffrement) : vérifier son niveau dans le catalogue. Un produit certifié vaut mieux qu'un produit "certifié ISO 27001" (ce qui n'est pas la même chose).

  2. Avant de signer avec un prestataire d'audit ou de SOC : exiger le label PASSI ou PDIS. C'est la garantie que leurs méthodes ont été évaluées par l'ANSSI, pas seulement par eux-mêmes.

  3. Avant de migrer vers le cloud : vérifier si l'hébergeur ou le VMS ciblé bénéficie d'une qualification SecNumCloud ou s'appuie sur un hébergeur qualifié.

  4. En réponse à un audit ou à une obligation réglementaire (NIS 2 / ReCyF) : utiliser le catalogue pour justifier vos choix technologiques dans votre analyse de risque et votre PSSI.

Checklist "avant signature"

  • [ ] Le produit ou service figure-t-il dans le catalogue ANSSI ?
  • [ ] Son niveau de recommandation est-il Optimal ?
  • [ ] La date de validité de la décision est-elle en cours ?
  • [ ] Aucune vulnérabilité connue n'a touché le certificat ?
  • [ ] Pour un service : le label correspond-il au besoin (PASSI pour un audit, PDIS pour de la détection…) ?
  • [ ] Pour du cloud sensible : SecNumCloud est-il présent ou exigé contractuellement ?

Conclusion

En 2026, la cybersécurité ne se résume pas à acheter des logiciels. Elle se construit sur des garanties vérifiables : certification indépendante, qualification par l'État, et mise à jour régulière face aux nouvelles menaces.

Le catalogue ANSSI est l'un des rares outils publics, gratuits et régulièrement mis à jour qui vous permette de faire la différence entre un produit robuste et un produit bien marketé.

Consultez-le systématiquement avant d'acheter un logiciel, de signer avec un prestataire cloud ou d'audit.

Accéder au catalogue officiel ANSSI (PDF, mis à jour mensuellement) : catalogue-produits-services-anssi.pdf

Votre parc de solutions est-il aligné sur les recommandations ANSSI ?

Chez Pixecurity, nous vous accompagnons dans :

  • L'audit de vos solutions en place au regard du catalogue ANSSI.
  • La sélection de prestataires qualifiés (PASSI, PDIS, SecNumCloud) adaptés à votre contexte.
  • L'intégration des exigences de certification dans votre PSSI et vos appels d'offres.

Contactez-nous pour transformer vos obligations réglementaires en choix technologiques défendables face à l'ANSSI et à vos partenaires.

Articles récents :

Contrôle d’accès & recommandations ANSSI : baseline opérationnelle (2026)
Contrôle d’accès & recommandations ANSSI : baseline opérationnelle (2026)2026-02-08
Vidéoprotection en 2026 : sortir du débat "pour ou contre" et construire un dispositif utile (sans dérive)
Vidéoprotection en 2026 : sortir du débat "pour ou contre" et construire un dispositif utile (sans dérive)2026-04-07
Conformité NIS 2 et ReCyF : ce que les entités importantes et essentielles doivent savoir en 2026
Conformité NIS 2 et ReCyF : ce que les entités importantes et essentielles doivent savoir en 20262026-04-30
Un Projet? Contactez-nous