Présentation

Article

1 - ÉVALUATION ET CERTIFICATION SELON LES CRITÈRES COMMUNS

2 - CERTIFICAT DE SÉCURITÉ DE PREMIER NIVEAU POUR LA QUALITÉ DES LOGICIELS

3 - QUALIFICATION DES PRODUITS DE SÉCURITÉ TRAITANT DES INFORMATIONS SENSIBLES NON CLASSÉES « SECRET DÉFENSE »

  • 3.1 - Enjeux et objectifs de la qualification
  • 3.2 - Procédures de qualification
  • 3.3 - Limites de la qualification

4 - AGRÉMENT DES PRODUITS DE SÉCURITÉ POUR LA PROTECTION DU SECRET DÉFENSE

  • 4.1 - Homologation d'un système d'information
  • 4.2 - Contenu et procédure d'agrément

5 - PROCÉDURE D'AGRÉMENTS DES CESTI

  • 5.1 - Demande et audit préliminaire
  • 5.2 - Évaluation pilote
  • 5.3 - Audit formel et décision d'agrément
  • 5.4 - Suivi, modification, suspension, retrait d'agrément
  • 5.5 - Liste des CESTI

6 - CRITÈRES COMMUNS DANS LE MONDE

7 - ÉVOLUTION DES CRITÈRES COMMUNS

  • 7.1 - Processus d'évolution
  • 7.2 - Évolutions de la version 2.3 à la 3.1
  • 7.3 - Évolution du CCMRA et profils de protections collaboratifs

8 - CONCLUSION

9 - TABLEAU DES ACRONYMES

| Réf : H5825 v2

Évaluation et certification selon les Critères Communs
Qualité des produits de SSI, les labels français

Auteur(s) : Michaël CHOCHOIS, Nicolas MAGNIN

Date de publication : 10 oct. 2015

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

RÉSUMÉ

Assurer la sécurité de son système d’information est un enjeu clé pour les directions informatiques. Celles-ci doivent se prémunir contre de multiples menaces. Les solutions de sécurité offertes par le marché sont certes nombreuses, et il est impossible pour un gestionnaire de système d’information de les essayer et de les évaluer toutes et intégralement. La certification permet alors d’orienter le choix des produits de sécurité informatique. Cependant de nombreux labels existent et leur connaissance s’avère d’autant plus importante que le dispositif international des critères communs coexiste avec d’autres labels nationaux, au risque de se chevaucher.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

Ensuring the security of an IT System is a key challenge for IT managers as they are facing multiple threats. The market offers various IT security solutions, however it is not possible for the IT manager to test and evaluate all of them into details.  Certification helps deciding which information security product is best adapted. However there are many security labels, and it is of high importance to know and understand them as both the national security certification and the international evaluation “Common Criteria” scheme apply simultaneously with risks of overlapping.

Auteur(s)

  • Michaël CHOCHOIS : Security and IT Risk Manager

  • Nicolas MAGNIN : Juriste spécialiste de la SSI

INTRODUCTION

L'avènement de la société de l'information durant les années 1990 a suscité une montée des besoins en sécurité informatique. L'industrie a réagi en proposant pléthore de matériels et de logiciels permettant de protéger en tout ou en partie les systèmes d'information, qui sont considérés depuis fort longtemps comme stratégiques et concourant à garantir la souveraineté des États.

Les États, comme les entreprises utilisatrices de produits de sécurité, ont rapidement ressenti le besoin d'évaluer les capacités réelles de protection des produits de Sécurité des Systèmes d'Information (SSI). Les États-Unis ont ainsi créé le Trusted Computer System Evaluation Criteria (TCSEC), appelé aussi « livre orange ». Ce document énonce une série de critères auxquels un système d'information doit répondre pour pouvoir être considéré comme fiable, pour une utilisation par une administration fédérale américaine. L'originalité de ce système d'évaluation est qu'il propose quatre niveaux de sécurité, le choix de ce niveau de sécurité étant fixé par le niveau de sensibilité des informations à gérer par le système d'information. Dans le même temps, des sociétés privées ont créé des instituts pour évaluer la robustesse des produits de SSI.

Cependant, ce sont les États qui ont exprimé le besoin le plus fort pour évaluer les produits de SSI. De plus, même les sociétés utilisatrices étaient intéressées par leurs évaluations, car elles présentaient une certaine garantie d'indépendance. Ainsi, les États ont décidé de coordonner leurs efforts en vue de partager le grand nombre de critères d'évaluation des produits de SSI. Ils ont conclu des accords pour que les certificats, attestant que ces produits répondent à ces critères de sécurité, soient reconnus dans d'autres États. Néanmoins, et malgré cet effort, la sécurité des systèmes d'information reste souvent, et avant tout, considérée comme une prérogative nationale. Ainsi, les États développent souvent, parallèlement aux accords internationaux, des systèmes d'évaluation nationaux afin de garder la maîtrise sur les évaluations de produits de SSI.

Tel est le cas de la France. Notre pays est l'un des participants fondateurs de l'accord de reconnaissance mutuelle selon les Critères Communs ; il a ainsi créé une autorité de certification nationale pour émettre des certificats selon ses critères (§ 1).

La France a également développé ce système de certification national pour :

  • évaluer des produits de SSI issus de la communauté des logiciels libres, c'est-à-dire dont les codes source sont publiés et accessibles (§ 2) ;

  • qualifier des produits de SSI (§ 3), c'est-à-dire donner une appréciation et recommander un produit afin que celui-ci soit utilisé dans les administrations ;

  • agréer des produits SSI (§ 4), c'est-à-dire vérifier que le produit de SSI est apte à protéger les systèmes d'information qui traitent des données classées Confidentiel Défense.

L'autorité de certification nationale agrée et contrôle les laboratoires chargés des évaluations de produits SSI (§ 5) et participe au développement et à l'évolution des Critères Communs (§ 6).

Un tableau des acronymes utilisés est présenté en fin d'article.

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

KEYWORDS

quality and certification   |   common criteria   |   IT security   |   common criteria

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v2-h5825


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

1. Évaluation et certification selon les Critères Communs

1.1 Base légale des Critères Communs

La première tentative pour coordonner l'évaluation des produits de SSI remonte à 1999. L'accord européen de reconnaissance mutuelle du Senior Officers Group for Information Systems Security (SOG-IS), appelé aussi Groupe Européen d'Experts en Cryptographie, permet la reconnaissance mutuelle de certificat de sécurité émis par l'une des autorités de certification nationale signataire de l'accord.

Au terme de cet accord, les certificats Information Technology Security Evaluation (ITSEC) de niveau E6 et CC EAL7 (§ 1.3) ont été reconnus mutuellement.

Cet accord est limité au continent européen. On distingue deux catégories d'États :

  • d'un côté, l'Allemagne, la France et le Royaume-Uni possèdent des organismes de certification capables d'émettre des certificats dans le cadre de cet accord ;

  • de l'autre, l'Espagne, la Grèce, l'Italie, les Pays-Bas, la Finlande, la Norvège et la Suède reconnaissent les certificats, mais n'en émettent pas.

Cette première tentative européenne SOG-IS fut limitée par le fait que les certificats ITSEC furent peu utilisés. De plus, elle a été rapidement concurrencée par un accord dont la portée est plus grande.

HAUT DE PAGE

1.1.1 Arrangement de reconnaissance mutuelle selon les Critères Communs

Cet accord est également connu sous le nom de Common Criteria – Mutual Recognition Arrangement (CC-MRA) ou Arrangement de reconnaissance mutuelle selon les Critères Communs. Il ne s'agit pas d'un traité, mais d'un arrangement. Son application dépend donc de la bonne volonté des États qui y prennent partie. Cet accord a été conclu en mai 2000.

Par rapport à l'accord européen SOG-IS, la liste des pays participants est considérablement augmentée. Les pays dotés d'une autorité de certification et donc capables d'émettre des certificats sont précisés dans le tableau 1.

Les pays reconnaissant les certificats Critères Communs, sans en émettre,...

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Évaluation et certification selon les Critères Communs
Sommaire
Sommaire

    DANS NOS BASES DOCUMENTAIRES

    1 Outils logiciels

    CISIA juin 2000 Le Bayésien (version pour Windows Vista).

    HAUT DE PAGE

    2 Sites Internet

    Agence nationale de la Sécurité des services d'information http://www.ssi.gouv.fr/

    Profil de protection certifié EAL2+ pour les machines à voter http://www.ssi.gouv.fr/fr/confiance/pp/pp_2006_4.html

    Profils de protection certifiés http://www.ssi.gouv.fr/fr/confiance/pp.html

    Arrangement on the Recognition of Common Criteria Certificates in the field of Information Technology Security http://www.commoncriteriaportal.org/files/operatingprocedures/cc-recarrange.pdf

    Multiple CBs within one country/Commercial CBs http://www.commoncriteriaportal.org/files/operatingprocedures/Multiple%20 or%20commercial%20CBs20MC%20policy%20procedure%202006-09-001% 20v%201.0.pdf

    Common Criteria for Information Technology Security Evaluation – Part 2: Security fonctional requirements http://www.commoncriteriaportal.org/files/ccfiles/CCPART2V3.1R2.pdf

    Common Criteria for Information Technology Security Evaluation – Part 3: Security assurance requirements https://www.commoncriteriaportal.org/files/ccfiles/CCPART3V3.1R3.pdf...

    Cet article est réservé aux abonnés.
    Il vous reste 92% à découvrir.

    Pour explorer cet article
    Téléchargez l'extrait gratuit

    Vous êtes déjà abonné ?Connectez-vous !


    L'expertise technique et scientifique de référence

    La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
    + de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
    De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

    Cet article fait partie de l’offre

    Sécurité des systèmes d'information

    (75 articles en ce moment)

    Cette offre vous donne accès à :

    Une base complète d’articles

    Actualisée et enrichie d’articles validés par nos comités scientifiques

    Des services

    Un ensemble d'outils exclusifs en complément des ressources

    Un Parcours Pratique

    Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

    Doc & Quiz

    Des articles interactifs avec des quiz, pour une lecture constructive

    ABONNEZ-VOUS