Contactez-nous

Contact

Poser une question en ligne Contacter nos équipes

Aide en ligne

Tutos FAQ Chatbot d'assistance
Procédure d'agréments des CESTI
Qualité des produits de SSI, les labels français
H5825 v2 Archive

Procédure d'agréments des CESTI
Qualité des produits de SSI, les labels français

Auteur(s) : Michaël CHOCHOIS, Nicolas MAGNIN

Date de publication : 10 oct. 2015 | Read in English

Logo Techniques de l'Ingenieur Cet article est réservé aux abonnés
Pour explorer cet article plus en profondeur Consulter l'extrait gratuit

Déjà abonné ?

Présentation

1 - Évaluation et certification selon les Critères Communs

  • 1.1 - Base légale des Critères Communs
  • 1.2 - Choix du profil de protection et détermination de la cible de sécurité
  • 1.3 - Contenu des niveaux de certification (EAL1 à EAL7)
  • 1.4 - Procédure de certification

2 - Certificat de sécurité de premier niveau pour la qualité des logiciels

3 - Qualification des produits de sécurité traitant des informations sensibles non classées « secret défense »

  • 3.1 - Enjeux et objectifs de la qualification
  • 3.2 - Procédures de qualification
  • 3.3 - Limites de la qualification

4 - Agrément des produits de sécurité pour la protection du secret défense

  • 4.1 - Homologation d'un système d'information
  • 4.2 - Contenu et procédure d'agrément

5 - Procédure d'agréments des CESTI

  • 5.1 - Demande et audit préliminaire
  • 5.2 - Évaluation pilote
  • 5.3 - Audit formel et décision d'agrément
  • 5.4 - Suivi, modification, suspension, retrait d'agrément
  • 5.5 - Liste des CESTI

6 - Critères Communs dans le monde

7 - Évolution des Critères Communs

  • 7.1 - Processus d'évolution
  • 7.2 - Évolutions de la version 2.3 à la 3.1
  • 7.3 - Évolution du CCMRA et profils de protections collaboratifs

8 - Conclusion

9 - Tableau des acronymes

Sommaire

Présentation

RÉSUMÉ

Assurer la sécurité de son système d’information est un enjeu clé pour les directions informatiques. Celles-ci doivent se prémunir contre de multiples menaces. Les solutions de sécurité offertes par le marché sont certes nombreuses, et il est impossible pour un gestionnaire de système d’information de les essayer et de les évaluer toutes et intégralement. La certification permet alors d’orienter le choix des produits de sécurité informatique. Cependant de nombreux labels existent et leur connaissance s’avère d’autant plus importante que le dispositif international des critères communs coexiste avec d’autres labels nationaux, au risque de se chevaucher.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

  • Michaël CHOCHOIS : Security and IT Risk Manager

  • Nicolas MAGNIN : Juriste spécialiste de la SSI

INTRODUCTION

L'avènement de la société de l'information durant les années 1990 a suscité une montée des besoins en sécurité informatique. L'industrie a réagi en proposant pléthore de matériels et de logiciels permettant de protéger en tout ou en partie les systèmes d'information, qui sont considérés depuis fort longtemps comme stratégiques et concourant à garantir la souveraineté des États.

Les États, comme les entreprises utilisatrices de produits de sécurité, ont rapidement ressenti le besoin d'évaluer les capacités réelles de protection des produits de Sécurité des Systèmes d'Information (SSI). Les États-Unis ont ainsi créé le Trusted Computer System Evaluation Criteria (TCSEC), appelé aussi « livre orange ». Ce document énonce une série de critères auxquels un système d'information doit répondre pour pouvoir être considéré comme fiable, pour une utilisation par une administration fédérale américaine. L'originalité de ce système d'évaluation est qu'il propose quatre niveaux de sécurité, le choix de ce niveau de sécurité étant fixé par le niveau de sensibilité des informations à gérer par le système d'information. Dans le même temps, des sociétés privées ont créé des instituts pour évaluer la robustesse des produits de SSI.

Cependant, ce sont les États qui ont exprimé le besoin le plus fort pour évaluer les produits de SSI. De plus, même les sociétés utilisatrices étaient intéressées par leurs évaluations, car elles présentaient une certaine garantie d'indépendance. Ainsi, les États ont décidé de coordonner leurs efforts en vue de partager le grand nombre de critères d'évaluation des produits de SSI. Ils ont conclu des accords pour que les certificats, attestant que ces produits répondent à ces critères de sécurité, soient reconnus dans d'autres États. Néanmoins, et malgré cet effort, la sécurité des systèmes d'information reste souvent, et avant tout, considérée comme une prérogative nationale. Ainsi, les États développent souvent, parallèlement aux accords internationaux, des systèmes d'évaluation nationaux afin de garder la maîtrise sur les évaluations de produits de SSI.

Tel est le cas de la France. Notre pays est l'un des participants fondateurs de l'accord de reconnaissance mutuelle selon les Critères Communs ; il a ainsi créé une autorité de certification nationale pour émettre des certificats selon ses critères (§ 1).

La France a également développé ce système de certification national pour :

  • évaluer des produits de SSI issus de la communauté des logiciels libres, c'est-à-dire dont les codes source sont publiés et accessibles (§ 2) ;

  • qualifier des produits de SSI (§ 3), c'est-à-dire donner une appréciation et recommander un produit afin que celui-ci soit utilisé dans les administrations ;

  • agréer des produits SSI (§ 4), c'est-à-dire vérifier que le produit de SSI est apte à protéger les systèmes d'information qui traitent des données classées Confidentiel Défense.

L'autorité de certification nationale agrée et contrôle les laboratoires chargés des évaluations de produits SSI (§ 5) et participe au développement et à l'évolution des Critères Communs (§ 6).

Un tableau des acronymes utilisés est présenté en fin d'article.

Logo Techniques de l'Ingenieur

Cet article est réservé aux abonnés.
Il vous reste 92 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ?

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v2-h5825

Lecture en cours
Présentation

Article inclus dans l'offre

"Sécurité des systèmes d'information"

(80 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

5. Procédure d'agréments des CESTI

Les Centres d'Évaluation de la Sécurité des Technologies de l'Information (CESTI) sont des sociétés privées indépendantes des développeurs de produits et des commanditaires. Les CESTI peuvent faire partie d'un groupe de sociétés, mais leur activité doit alors être strictement cloisonnée des autres activités du groupe. Ce sont les CESTI qui sont chargés des opérations d'évaluation dans la procédure de CSPN et de certificats CC.

Les CESTI sont agréés par le centre de certification de l'ANSSI. Ils se composent d'une équipe d'experts en sécurité des systèmes d'information. Outre sa compétence technique et sa connaissance des CC, un CESTI doit être impartial. Il ne doit donc pas avoir de lien avec le commanditaire. L'ANSSI s'assure en permanence que le CESTI respecte les conditions de l'agrément. La procédure d'agrément permet de sélectionner strictement les CESTI.

Le décret n 2002-535 du 18 avril 2002, relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information, prévoit la procédure d'agrément et de contrôle des CESTI. L'ANSSI a publié la procédure.

5.1 Demande et audit préliminaire

Le candidat à l'agrément en tant que centre d'évaluation doit envoyer une demande à l'ANSSI.

  • Le dossier de demande doit comporter les éléments suivants :

    • une photocopie de l'extrait du registre du commerce et des sociétés (KBis) de la société candidate ;

    • une présentation générale de l'entreprise, avec notamment un ou des organigrammes présentant la place du centre d'évaluation dans l'entreprise mère ;

    • les expériences et références nationales et internationales récentes de prestations similaires ;

    • les éventuelles habilitations « confidentiel défense » ou « secret défense » de la société candidate ;

    • la portée détaillée de l'agrément demandé, c'est-à-dire dans quelles spécialités le candidat postule. Il est possible de postuler pour des types de produits (logiciels et équipements réseaux d'une part et composants électroniques, microélectroniques et logiciels embarqués d'autre part) et/ou pour l'évaluation de...

Logo Techniques de l'Ingenieur

Cet article est réservé aux abonnés.
Il vous reste 92 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ?

Lecture en cours
Procédure d'agréments des CESTI

Article inclus dans l'offre

"Sécurité des systèmes d'information"

(80 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

Sommaire
Sommaire

    DANS NOS BASES DOCUMENTAIRES

    ANNEXES

    1. 1 Outils logiciels
      1. 2 Sites Internet

        1 Outils logiciels

        CISIA juin 2000 Le Bayésien (version pour Windows Vista).

        HAUT DE PAGE

        2 Sites Internet

        Agence nationale de la Sécurité des services d'information http://www.ssi.gouv.fr/

        Profil de protection certifié EAL2+ pour les machines à voter http://www.ssi.gouv.fr/fr/confiance/pp/pp_2006_4.html

        Profils de protection certifiés http://www.ssi.gouv.fr/fr/confiance/pp.html

        Arrangement on the Recognition of Common Criteria Certificates in the field of Information Technology Security http://www.commoncriteriaportal.org/files/operatingprocedures/cc-recarrange.pdf

        Multiple CBs within one country/Commercial CBs http://www.commoncriteriaportal.org/files/operatingprocedures/Multiple%20 or%20commercial%20CBs20MC%20policy%20procedure%202006-09-001% 20v%201.0.pdf

        Common Criteria for Information Technology Security Evaluation – Part 2: Security fonctional requirements http://www.commoncriteriaportal.org/files/ccfiles/CCPART2V3.1R2.pdf

        Common Criteria for Information Technology Security Evaluation – Part 3: Security assurance requirements https://www.commoncriteriaportal.org/files/ccfiles/CCPART3V3.1R3.pdf...

        Logo Techniques de l'Ingenieur

        Cet article est réservé aux abonnés.
        Il vous reste 92 % à découvrir.

        Pour explorer cet article Consulter l'extrait gratuit

        Déjà abonné ?

        Article inclus dans l'offre

        "Sécurité des systèmes d'information"

        (80 articles)

        Une base complète d’articles

        Actualisée et enrichie d’articles validés par nos comités scientifiques.

        Des contenus enrichis

        Quiz, médias, tableaux, formules, vidéos, etc.

        Des modules pratiques

        Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

        Des avantages inclus

        Un ensemble de services exclusifs en complément des ressources.

        Voir l'offre