Bibliographie & annexes
Présentation
RÉSUMÉ
Assurer la sécurité de son système d’information est un enjeu clé pour les directions informatiques. Celles-ci doivent se prémunir contre de multiples menaces. Les solutions de sécurité offertes par le marché sont certes nombreuses, et il est impossible pour un gestionnaire de système d’information de les essayer et de les évaluer toutes et intégralement. La certification permet alors d’orienter le choix des produits de sécurité informatique. Cependant de nombreux labels existent et leur connaissance s’avère d’autant plus importante que le dispositif international des critères communs coexiste avec d’autres labels nationaux, au risque de se chevaucher.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleABSTRACT
Ensuring the security of an IT System is a key challenge for IT managers as they are facing multiple threats. The market offers various IT security solutions, however it is not possible for the IT manager to test and evaluate all of them into details. Certification helps deciding which information security product is best adapted. However there are many security labels, and it is of high importance to know and understand them as both the national security certification and the international evaluation “Common Criteria” scheme apply simultaneously with risks of overlapping.
Auteur(s)
-
Michaël CHOCHOIS : Security and IT Risk Manager
-
Nicolas MAGNIN : Juriste spécialiste de la SSI
INTRODUCTION
L'avènement de la société de l'information durant les années 1990 a suscité une montée des besoins en sécurité informatique. L'industrie a réagi en proposant pléthore de matériels et de logiciels permettant de protéger en tout ou en partie les systèmes d'information, qui sont considérés depuis fort longtemps comme stratégiques et concourant à garantir la souveraineté des États.
Les États, comme les entreprises utilisatrices de produits de sécurité, ont rapidement ressenti le besoin d'évaluer les capacités réelles de protection des produits de Sécurité des Systèmes d'Information (SSI). Les États-Unis ont ainsi créé le Trusted Computer System Evaluation Criteria (TCSEC), appelé aussi « livre orange ». Ce document énonce une série de critères auxquels un système d'information doit répondre pour pouvoir être considéré comme fiable, pour une utilisation par une administration fédérale américaine. L'originalité de ce système d'évaluation est qu'il propose quatre niveaux de sécurité, le choix de ce niveau de sécurité étant fixé par le niveau de sensibilité des informations à gérer par le système d'information. Dans le même temps, des sociétés privées ont créé des instituts pour évaluer la robustesse des produits de SSI.
Cependant, ce sont les États qui ont exprimé le besoin le plus fort pour évaluer les produits de SSI. De plus, même les sociétés utilisatrices étaient intéressées par leurs évaluations, car elles présentaient une certaine garantie d'indépendance. Ainsi, les États ont décidé de coordonner leurs efforts en vue de partager le grand nombre de critères d'évaluation des produits de SSI. Ils ont conclu des accords pour que les certificats, attestant que ces produits répondent à ces critères de sécurité, soient reconnus dans d'autres États. Néanmoins, et malgré cet effort, la sécurité des systèmes d'information reste souvent, et avant tout, considérée comme une prérogative nationale. Ainsi, les États développent souvent, parallèlement aux accords internationaux, des systèmes d'évaluation nationaux afin de garder la maîtrise sur les évaluations de produits de SSI.
Tel est le cas de la France. Notre pays est l'un des participants fondateurs de l'accord de reconnaissance mutuelle selon les Critères Communs ; il a ainsi créé une autorité de certification nationale pour émettre des certificats selon ses critères (§ 1).
La France a également développé ce système de certification national pour :
-
évaluer des produits de SSI issus de la communauté des logiciels libres, c'est-à-dire dont les codes source sont publiés et accessibles (§ 2) ;
-
qualifier des produits de SSI (§ 3), c'est-à-dire donner une appréciation et recommander un produit afin que celui-ci soit utilisé dans les administrations ;
-
agréer des produits SSI (§ 4), c'est-à-dire vérifier que le produit de SSI est apte à protéger les systèmes d'information qui traitent des données classées Confidentiel Défense.
L'autorité de certification nationale agrée et contrôle les laboratoires chargés des évaluations de produits SSI (§ 5) et participe au développement et à l'évolution des Critères Communs (§ 6).
Un tableau des acronymes utilisés est présenté en fin d'article.
L'expertise technique et scientifique de référence
MOTS-CLÉS
qualité et certification critères communs sécurité des systèmes d'information critères communs
KEYWORDS
quality and certification | common criteria | IT security | common criteria
VERSIONS
- Version archivée 1 de oct. 2009 par Michaël CHOCHOIS, Nicolas MAGNIN
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(75 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Qualification des produits de sécurité traitant des informations sensibles non classées « secret défense »2. Certificat de sécurité de premier niveau pour la qualité des logiciels
2.1 Définition
L'acte fondateur du Certificat de Sécurité de Premier Niveau (CSPN) est le rapport de recommandation du député Pierre Lasbordes, missionné en mai 2005 par le Premier ministre (lien en partie documentation de l'article). Un des axes de cette mission consistait à dresser un état des lieux sur la façon dont notre pays gère les méthodes d'homologation des produits de sécurité. Parmi les six recommandations du rapport de M. Lasbordes, la troisième recommandation stipule clairement qu'il faut « développer la politique de certification et de qualification par une augmentation des produits certifiés et qualifiés, et une réduction des délais et des coûts de certification ».
En réponse à cette recommandation, l'ANSSI, en collaboration avec des acteurs spécialistes de l'évaluation de produits sécurité des systèmes d'information, a conçu le schéma de certification CSPN. Publié en mars 2008, ce schéma a subi une longue période d'expérimentation entre 2008 et 2011. L'ensemble des documents en vue de cette certification est désormais disponible sur le site de l'ANSSI : http://www.ssi.gouv.fr/fr/certification-qualification/csn/presentation-80.html. L'Agence a en charge la définition des critères ainsi que la méthodologie pour la certification des produits, les centres d'évaluation agréés par l'ANSSI sont chargés de la mise en œuvres des opérations de certification.
Robustes dans la spécification des exigences de sécurité et dans la rédaction de profils de protection certifiés, les CC garantissent une analyse poussée des considérations de la sécurité dans toutes les phases de conception du produit. En focalisant sur la méthodologie, les CC peuvent conduire à délaisser l'aspect d'expertise technique, ainsi que l'évolution du contexte, des vulnérabilités. Par ailleurs, les fonctions de sécurité présentes dans les produits de sécurité n'ont cessé de se renforcer, ce qui rend la démarche de certification d'autant plus fastidieuse. Le marché des produits de sécurité, devenu extrêmement concurrentiel, implique le lancement de versions biannuelles ; cela sème la confusion dans la délivrance de certificats de produits qui, s'ils sont longs à délivrer, peuvent être émis pour des versions n – 1 ou n – 2 !
Il...
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(75 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Certificat de sécurité de premier niveau pour la qualité des logiciels
DANS NOS BASES DOCUMENTAIRES
ANNEXES
CISIA juin 2000 Le Bayésien (version pour Windows Vista).
HAUT DE PAGE
Agence nationale de la Sécurité des services d'information http://www.ssi.gouv.fr/
Profil de protection certifié EAL2+ pour les machines à voter http://www.ssi.gouv.fr/fr/confiance/pp/pp_2006_4.html
Profils de protection certifiés http://www.ssi.gouv.fr/fr/confiance/pp.html
Arrangement on the Recognition of Common Criteria Certificates in the field of Information Technology Security http://www.commoncriteriaportal.org/files/operatingprocedures/cc-recarrange.pdf
Multiple CBs within one country/Commercial CBs http://www.commoncriteriaportal.org/files/operatingprocedures/Multiple%20 or%20commercial%20CBs20MC%20policy%20procedure%202006-09-001% 20v%201.0.pdf
Common Criteria for Information Technology Security Evaluation – Part 2: Security fonctional requirements http://www.commoncriteriaportal.org/files/ccfiles/CCPART2V3.1R2.pdf
Common Criteria for Information Technology Security Evaluation – Part 3: Security assurance requirements https://www.commoncriteriaportal.org/files/ccfiles/CCPART3V3.1R3.pdf...
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(75 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
