En termes de cybersécurité, il existe des Critères Communs définis internationalement par les pays les plus avancés. Or, ils sont coûteux et difficiles à mettre en œuvre. C’est pourquoi l’ANSSI a souhaité définir de premiers objectifs atteignables dans des délais et à des coûts à la portée des industriels. Les prestataires, produits ou formations répondant à ces critères obtiennent une Certification de sécurité de premier niveau. Que l’on peut considérer comme une étape intermédiaire vers un niveau plus élevé à atteindre lorsque ce sera possible.
L’ANSSI a également mis en place un processus plus long et plus approfondi : la qualification. Un prestataire ou un produit qualifié répond à une double exigence : d’une part la compétence (prestataire) ou la performance (produit), d’autre part la confiance. « Nous imposons des interlocuteurs et produits qualifiés pour l’administration de l’État », explique Sadio Bâ.
Il existe un troisième niveau encore plus élevé, réservé aux services régaliens : l’agrément. Le monde de l’eau n’est pas concerné.