Certificate of Networthiness : définition, utilité, obtention et remplacement par le RMF

Le Certificate of Networthiness (CoN) est une certification américaine qui atteste qu’une solution logicielle ou matérielle peut être déployée sur un réseau militaire sans compromettre sa sécurité. Pendant des années, il a été incontournable pour tout éditeur ou intégrateur souhaitant travailler avec le Department of Defense (DoD) américain. Mais en 2026, le paysage a changé : le CoN cède progressivement la place au Risk Management Framework (RMF). Cet article vous explique tout : définition, fonctionnement, utilité, procédure d’obtention et statut actuel face au RMF.

En résumé

  • Le CoN certifie qu’une solution est compatible avec un réseau militaire sensible.
  • Il couvre trois axes : sécurité, conformité et déploiement opérationnel.
  • L’obtention passe par documentation, tests techniques et validation finale.
  • Le RMF remplace progressivement le CoN avec une approche plus continue.

Qu’est-ce qu’un Certificate of Networthiness ?

Un Certificate of Networthiness est un document officiel délivré par l’U.S. Army — et plus largement par les branches du Department of Defense — qui atteste qu’une solution logicielle, matérielle ou applicative satisfait aux exigences de sécurité, d’interopérabilité et de conformité nécessaires pour être déployée sur un réseau militaire ou gouvernemental sensible.

En d’autres termes : sans CoN, un produit ne peut pas légalement être connecté aux infrastructures réseau du DoD. Ce n’est pas une simple formalité administrative. C’est un processus de validation technique rigoureux, qui engage la responsabilité de l’éditeur ou du fournisseur sur la sécurité de sa solution.

En une phrase : Le Certificate of Networthiness (CoN) est une accréditation délivrée par l’U.S. Army certifiant qu’un produit IT peut être déployé sur un réseau militaire sans risque pour la sécurité ou la stabilité du système.

Ce certificat a été utilisé principalement dans les environnements suivants :

  • Réseaux intranet militaires classifiés ou non classifiés (NIPRNet, SIPRNet)
  • Systèmes d’information de commandement et de contrôle
  • Infrastructures de communication des bases et installations militaires
  • Déploiements de solutions logicielles commerciales (COTS) dans un contexte défense

Pour un éditeur de logiciel ou un intégrateur, le CoN représentait à la fois une barrière à l’entrée et un avantage concurrentiel : l’obtenir signifiait qu’on avait passé la rampe des exigences les plus strictes du marché défense américain.

À quoi sert le Certificate of Networthiness ?

La finalité du CoN est claire : démontrer qu’une solution peut être déployée sur un environnement sensible sans compromettre la sécurité ni la stabilité du réseau. Pour comprendre son utilité concrète, il faut l’analyser selon trois axes.

1. Sécurité

Le CoN vérifie qu’une solution ne présente pas de vulnérabilités exploitables sur le réseau hôte. Cela inclut l’absence de ports non autorisés ouverts, l’absence de backdoors, la conformité aux politiques de chiffrement et la robustesse face aux attaques courantes. En somme, c’est un audit de cybersécurité appliqué à un produit avant son admission sur le réseau.

2. Conformité

Le processus CoN s’assure que le produit respecte les standards et directives en vigueur au sein du DoD : notamment les STIG (Security Technical Implementation Guides) — des guides de durcissement publiés par la Defense Information Systems Agency (DISA). Ces référentiels définissent les configurations minimales acceptables pour chaque catégorie de composant IT.

Lire aussi :  Code de la sécurité intérieure : contenu, Livres clés et articles à connaître en 2025

3. Déploiement

Le CoN valide aussi l’interopérabilité de la solution : sa capacité à fonctionner correctement avec les autres systèmes du réseau, sans conflit de protocole, sans dégradation des performances et sans rupture de la chaîne de commandement numérique. C’est ce troisième axe qui le distingue d’une simple certification de sécurité isolée.

Exemple concret : Un éditeur de logiciel de gestion de maintenance (GMAO) souhaitant déployer sa solution sur une base aérienne américaine doit obtenir un CoN. La procédure lui impose de documenter chaque composant logiciel, de corriger les vulnérabilités identifiées lors des tests DISA, et de prouver que son application ne perturbe pas les systèmes adjacents.

Comment obtenir un Certificate of Networthiness ?

L’obtention d’un CoN suit un processus structuré en plusieurs étapes. Je vois souvent des équipes techniques sous-estimer la charge documentaire initiale — c’est pourtant là que se jouent la majorité des blocages. Voici le parcours complet, étape par étape.

  1. Cadrage initial : identifier l’autorité d’approbation compétente (souvent un Network Enterprise Center ou NEC) et vérifier que le produit entre dans le périmètre CoN.
  2. Préparation de la documentation : constituer le dossier technique complet (voir section dédiée ci-dessous).
  3. Tests techniques : soumettre la solution aux vérifications d’interopérabilité et de conformité sécurité.
  4. Remédiation : corriger les écarts identifiés lors des tests avant de soumettre à nouveau.
  5. Validation finale : obtenir la signature de l’autorité compétente et recevoir le certificat.

Erreurs fréquentes à éviter :

  • Soumettre un dossier incomplet, ce qui reporte systématiquement la validation de plusieurs semaines.
  • Ne pas anticiper la phase de remédiation dans le planning projet — elle prend en moyenne 30 à 60 jours supplémentaires.
  • Confondre CoN et ATO (Authority to Operate) : ce sont deux démarches complémentaires, non interchangeables.
  • Ignorer les mises à jour STIG entre deux versions du produit, ce qui invalide un CoN précédemment accordé.

Préparer la documentation

La qualité documentaire est le premier critère d’évaluation de votre dossier. Un dossier incomplet ou mal structuré est systématiquement retourné, sans examen technique préalable. Les livrables attendus comprennent généralement :

  • Architecture diagram : schéma complet de l’infrastructure applicative et réseau
  • Liste des ports, protocoles et services (PPS list) utilisés par la solution
  • Résultats de scan de vulnérabilités (ACAS, Nessus ou équivalent)
  • Checklist STIG applicable au composant (OS, base de données, application web…)
  • Plan de gestion des risques résiduels pour les vulnérabilités non corrigées
  • Informations fabricant : version, cycle de vie, support, correctifs disponibles

Chaque document doit être daté, versionné et signé par le responsable technique désigné. Un dossier bien tenu réduit significativement les allers-retours avec l’autorité d’approbation.

Passer les vérifications techniques

Les tests techniques visent à confirmer que la solution se comporte comme prévu dans un environnement réseau militaire réel ou simulé. Ils couvrent principalement :

  • L’interopérabilité avec les protocoles réseau en place (Active Directory, DNS militaire, VPN…)
  • La conformité aux STIGs applicables pour chaque composant de la solution
  • L’absence de comportement réseau non déclaré (connexions sortantes non autorisées, etc.)
  • La robustesse face aux scans de sécurité automatisés de type ACAS
Lire aussi :  Divorce sans contrat de mariage : partage des biens, procédure et coûts

Anticipez la phase de remédiation dès la conception du projet. Il est très rare qu’une solution passe les vérifications sans aucune correction à apporter. Prévoir cette étape dans le planning permet d’éviter un glissement de calendrier qui peut compromettre un contrat ou une date de mise en service.

Finaliser la validation

Une fois les tests concluants et les documents à jour, le dossier est soumis à l’autorité d’approbation désignée — généralement un Network Enterprise Center (NEC) ou un ISSM (Information System Security Manager). La validation formelle prend la forme d’une signature et de l’émission du CoN, avec une date de validité précise.

  • La durée de validité est limitée dans le temps et liée à la version du produit certifié.
  • Toute mise à jour majeure du logiciel ou du matériel nécessite une revalidation.
  • Les délais globaux varient de 3 à 9 mois selon la complexité de la solution et la charge de l’autorité.
  • Un CoN ne vaut que pour l’environnement et l’entité ayant conduit la validation : il n’est pas automatiquement transférable à une autre base ou unité.

Le Certificate of Networthiness existe-t-il encore ?

C’est la question que l’on se pose le plus souvent en 2026 : le CoN est-il encore en vigueur ? La réponse courte est non, pas sous sa forme originelle. Le processus CoN tel qu’il a été conçu par l’U.S. Army a été progressivement supplanté par le Risk Management Framework (RMF), un cadre de cybersécurité plus large, plus structuré et plus exigeant.

Ce qui a changé : le DoD a entrepris une refonte globale de sa gouvernance de la cybersécurité à partir de la directive DoDI 8510.01, qui impose le RMF comme référentiel unique pour l’autorisation des systèmes d’information. Le CoN, conçu pour une validation ponctuelle par réseau, ne répondait plus à la complexité croissante des environnements hybrides et multi-cloud du DoD.

Ce que cela implique concrètement : les fournisseurs qui opèrent encore dans l’écosystème défense américain doivent désormais s’aligner sur le processus RMF — et non plus cibler un CoN comme objectif final. Les anciens CoN en cours de validité sont généralement reconnus jusqu’à leur expiration, mais aucun nouveau CoN n’est émis dans les environnements ayant basculé vers le RMF.

Ce qu’il faut retenir aujourd’hui : le CoN reste une référence utile pour comprendre l’histoire de la conformité IT dans le secteur défense, et certains systèmes legacy ou environnements spécifiques peuvent encore y faire référence. Mais pour tout nouveau projet, le RMF est le cadre de référence.

Quelle différence entre CoN et RMF ?

Pour comprendre pourquoi le RMF a supplanté le CoN, il faut comparer leur logique respective. Ce ne sont pas deux versions d’un même outil — ce sont deux philosophies différentes de la gestion du risque IT.

Lire aussi :  Non-respect d'une décision de justice : exécution forcée, astreinte et recours (guide 2025)
CritèreCertificate of Networthiness (CoN)Risk Management Framework (RMF)
Logique de validationValidation ponctuelle par réseau et par produitAutorisation continue du système d’information
Profondeur documentaireDossier technique centré produitDocumentation système complète (SSP, SAR, POA&M…)
Approche du risqueConformité à un référentiel fixe (STIGs)Gestion dynamique et continue des risques résiduels
TemporalitéCertification à date, liée à une versionAutorisation continue avec révisions périodiques
PérimètreProduit ou solution isoléeSystème d’information dans sa globalité
Impact projetDélais de 3 à 9 mois, validité limitéeProcessus plus long mais autorisation plus robuste et pérenne

Le RMF est présenté comme une approche plus continue, plus holistique et plus exigeante que l’ancien cadre CoN. Là où le CoN s’intéressait à un produit en particulier, le RMF examine l’ensemble du système d’information dans lequel ce produit s’intègre — et continue de le surveiller après déploiement.

Faut-il encore parler du CoN en 2026 ?
Oui — mais dans un contexte précis. Le CoN reste pertinent pour comprendre les systèmes legacy, pour travailler avec des environnements n’ayant pas encore achevé leur transition vers le RMF, ou pour répondre à des appels d’offres qui y font encore référence. En dehors de ces cas, le RMF est la norme applicable.

En résumé : le CoN a posé les bases d’une culture de la certification réseau dans le monde militaire. Le RMF en est l’évolution naturelle, plus adaptée aux menaces actuelles et aux infrastructures modernes. Si vous intervenez dans l’écosystème défense américain, ne perdez pas de temps à chercher à obtenir un CoN : orientez directement vos efforts vers le processus RMF et l’obtention d’une ATO (Authority to Operate).

FAQ — Certificate of Networthiness

Qu’est-ce qu’un Certificate of Networthiness ?

Le Certificate of Networthiness (CoN) est une accréditation délivrée par l’U.S. Army certifiant qu’un produit IT — logiciel ou matériel — peut être connecté et déployé sur un réseau militaire sans menacer sa sécurité ou sa stabilité. Il a été utilisé principalement dans les environnements du Department of Defense américain.

À quoi sert le Certificate of Networthiness ?

Il sert à trois choses : garantir la sécurité du réseau hôte, assurer la conformité aux standards DoD (notamment les STIGs), et valider l’interopérabilité de la solution avec les autres systèmes en place. C’est un prérequis obligatoire avant tout déploiement sur réseau militaire sensible.

Comment obtenir un Certificate of Networthiness ?

Le processus comprend cinq étapes principales :

  1. Cadrage initial et identification de l’autorité compétente
  2. Constitution du dossier documentaire (architecture, ports/protocoles, scans de vulnérabilités, STIGs)
  3. Tests techniques d’interopérabilité et de conformité sécurité
  4. Remédiation des écarts identifiés
  5. Validation finale et émission du certificat par l’autorité désignée

Les délais moyens vont de 3 à 9 mois selon la complexité de la solution.

Le Certificate of Networthiness existe-t-il encore ?

Plus sous sa forme originelle. Le CoN a été progressivement remplacé par le Risk Management Framework (RMF), désormais obligatoire pour l’autorisation des systèmes d’information du DoD. Les CoN existants restent valides jusqu’à leur expiration, mais aucun nouveau CoN n’est émis dans les environnements ayant migré vers le RMF.

Quelle différence entre le CoN et le RMF ?

Le CoN valide un produit à un instant donné, pour un réseau précis. Le RMF adopte une logique de gestion continue du risque sur l’ensemble d’un système d’information. Le RMF est plus exigeant documentairement, mais offre une autorisation plus robuste et pérenne. En 2026, le RMF est le cadre de référence pour tout nouveau projet dans l’écosystème défense américain.

Avatar photo

Thomas Berland

Thomas Berland accompagne depuis plus de 10 ans des dirigeants de TPE/PME dans leurs prises de décision stratégiques, juridiques et fiscales. Entre entrepreneuriat, restructuration d’entreprise et optimisation financière, il partage sur A2JZ des conseils concrets et des décryptages utiles pour les pros. Son objectif : rendre accessibles les notions complexes du monde business à tous ceux qui veulent entreprendre efficacement.

Laisser un commentaire