Présentation
RÉSUMÉ
Assurer la sécurité de son système d'information est un enjeu clé pour les directions informatiques. Celles-ci doivent se prémunir contre de multiples menaces. Les solutions de sécurité offertes par le marché sont certes nombreuses, et il est impossible pour un gestionnaire de système d'information de les essayer et de les évaluer toutes et intégralement. La certification permet alors d'orienter le choix des produits de sécurité informatique. Cependant de nombreux labels existent et leur connaissance s'avère d'autant plus importante que le dispositif international des critères communs coexiste avec d'autres labels nationaux, au risque de se chevaucher.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Michaël CHOCHOIS : Chef de projets SSI pour une banque privée
-
Nicolas MAGNIN : Juriste spécialiste de la SSI
INTRODUCTION
L'avènement de la société de l'information durant les années 1990 a suscité une montée des besoins en sécurité informatique. L'industrie a réagi en proposant pléthore de matériels et de logiciels permettant de protéger tout ou partie les systèmes d'information.
Ceux-ci sont considérés depuis fort longtemps comme stratégiques et concourant à garantir la souveraineté des États.
Les États, comme les entreprises utilisatrices de produits de sécurité, ont rapidement ressenti le besoin d'évaluer les capacités réelles de protection des produits de sécurité des systèmes d'information (SSI). Les États-Unis ont ainsi créé le Trusted Computer System Evaluation Criteria (TCSEC), appelé aussi « livre orange ». Ce document énonce une série de critères auxquels un système d'information doit répondre pour pouvoir être considéré comme fiable, pour une utilisation par une administration fédérale américaine. L'originalité de ce système d'évaluation est qu'il propose quatre niveaux de sécurité, le choix de ce niveau de sécurité étant fixé par le niveau de sensibilité des informations à gérer par le système d'information.
Dans le même temps, des sociétés privées ont créé des instituts pour évaluer la robustesse des produits de SSI.
Cependant, ce sont les États eux-mêmes qui ont exprimé le besoin le plus fort pour évaluer les produits de SSI. De plus, même les sociétés utilisatrices étaient intéressées par les évaluations réalisées par les États, car elles présentaient une certaine garantie d'indépendance.
Ainsi, les États ont décidé de coordonner leurs efforts en vue de partager le grand nombre de critères d'évaluation des produits de SSI. Ils ont conclu des accords pour que les certificats attestant que les produits SSI répondent à ces critères de sécurité soient reconnus dans d'autres États.
Néanmoins et malgré cet effort, la sécurité des systèmes d'information est souvent considérée comme une prérogative nationale. Souvent, les États ont également développé, parallèlement aux accords internationaux, des systèmes d'évaluation nationaux afin de garder la maîtrise sur les évaluations de produits de SSI.
Tel est le cas de la France. Notre pays est l'un des participants fondateur de l'accord de reconnaissance mutuelle selon les Critères Communs et a créé une autorité de certification nationale pour émettre des certificats selon ses critères (§ 1).
La France a également développé un système de certification national pour :
-
évaluer des produits de SSI issus de la communauté des logiciels libres, c'est-à-dire dont les codes source sont publiés et accessibles (§ 2) ;
-
qualifier des produits de SSI (§ 3), c"est-à-dire donner une appréciation et recommander un produit afin que celui-ci soit utilisé dans les administrations ;
-
agréer des produits SSI (§ 4), c"est-à-dire vérifier que le produit de SSI est apte à protéger les systèmes d'information qui traitent des données classées « Confidentiel Défense ».
L'autorité de certification nationale agrée et contrôle les laboratoires chargés des évaluations de produits SSI (§ 5) et participe au développement et à l'évolution des Critères Communs (§ 6).
MOTS-CLÉS
qualité et certification critères communs sécurité des systèmes d'information critères communs
VERSIONS
- Version archivée 2 de oct. 2015 par Michaël CHOCHOIS, Nicolas MAGNIN
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
8. Conclusion
En 2000, la France a fortement soutenu l'initiative des CC. Durant quelques années, elle a souhaité en faire le seul critère de recommandation des produits de sécurité pour les marchés publics.
Cependant, les impératifs nationaux l'ont conduite à mettre en place une procédure parallèle de recommandation de produit afin de pouvoir écarter les produits étrangers. C'est ainsi qu'est apparue la qualification. Néanmoins, afin de poursuivre sa volonté de promouvoir les CC, la qualification s'appuie sur ces derniers pour l'évaluation du produit.
Depuis un an, le CSPN a vu le jour car la procédure de qualification s'avère trop coûteuse et trop longue. Le CSPN présente le double avantage d'être rapide et peu cher et sa portée est strictement nationale, ce qui permet d'éviter d'attirer les produits étranger à postuler pour ce certificat. Reste à savoir si la France possède suffisamment de ressources technologiques pour couvrir tous les besoins en produits de sécurité des systèmes d'information sans devoir faire appel aux produits étrangers.
Après presque 10 ans de développement des CC, la France semble se tourner de nouveau vers des labels de qualité strictement nationaux, à savoir le CSPN pour les systèmes d'information non classifiés et l'agrément pour les systèmes d'information classifiés.
La création récente de l'Agence Nationale pour la Sécurité des Systèmes d'Information (ANSSI), qui succède à la Direction Centrale de la Sécurité des Systèmes d'information (DCSSI), devrait permettre de choisir soit une orientation strictement nationale pour la promotion de la qualité des produits de sécurité, soit de s'orienter vers une approche plus internationale en préférant l'essor des CC.
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Conclusion
ANNEXES
###
Profil de protection certifié EAL2+ pour les machines à voter http://www.ssi.gouv.fr/fr/confiance/pp/pp_2006_4.html
Profils de protection certifiés http://www.ssi.gouv.fr/fr/confiance/pp.html
Arrangement on the Recognition of Common Criteria Certificates in the field of Information Technology Security http://www.commoncriteriaportal.org/files/operatingprocedures/ cc-recarrange.pdf
Multiple CBs within one country/Commercial CBs http://www.commoncriteriaportal.org/files/operatingprocedures/Multiple%20 or%20commercial%20CBs20MC%20policy%20procedure%202006-09-001% 20v%201.0.pdf
Pour aller plus loin :
Les recommandations du député Lasbordes http://www.lasbordes.fr/article.php3?id_article=166
Amossys, informations recueillies auprès de Frédéric Rémi, président de la société Amossys http://www.amossys.fr
Les documents de l'ANSSI relatifs à la certification de sécurité de premier niveau http://www.ssi.gouv.fr/fr/confiance/cspn-pres.html
Mécanismes cryptographiques – Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques de niveau de robustesse standard, version 1.10 du 19 décembre 2006, réf. no 2741/SGDN/DCSSI/SDS/LCR http://www.ssi.gouv.fr/site_documents/politiqueproduit/Mecanismes_cryptographique_v1_10_standard.pdf
Utilisation...
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive