Présentation

Article

1 - ÉVALUATION ET CERTIFICATION SELON LES CRITÈRES COMMUNS (COMMON CRITERIA, CC)

2 - CERTIFICAT DE SÉCURITÉ DE PREMIER NIVEAU (CSPN) POUR LA QUALITÉ DES LOGICIELS

3 - QUALIFICATION DES PRODUITS DE SÉCURITÉ PERMETTANT DE TRAITER DES INFORMATIONS SENSIBLES NON CLASSIFIÉES DÉFENSE

4 - AGRÉMENT DES PRODUITS DE SÉCURITÉ POUR LA PROTECTION DU « SECRET DÉFENSE »

  • 4.1 - Homologation d'un système d'information
  • 4.2 - Contenu et procédure d'agrément

5 - PROCÉDURE D'AGRÉMENTS DES CENTRES D'ÉVALUATION DE LA SÉCURITÉ DES TECHNOLOGIES DE L'INFORMATION (CESTI)

  • 5.1 - Demande et audit préliminaire
  • 5.2 - Évaluation pilote
  • 5.3 - Audit formel et décision d'agrément
  • 5.4 - Suivi, modification, suspension, retrait d'agrément
  • 5.5 - Liste des CESTI

6 - CRITÈRES COMMUNS DANS LE MONDE ?

7 - ÉVOLUTION DES CRITÈRES COMMUNS

  • 7.1 - Processus d'évolution
  • 7.2 - Évolutions de la version 2.3 à la 3.1

8 - CONCLUSION

| Réf : H5825 v1

Évolution des Critères Communs
Qualité des produits de SSI, les labels français

Auteur(s) : Michaël CHOCHOIS, Nicolas MAGNIN

Date de publication : 10 oct. 2009

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

RÉSUMÉ

Assurer la sécurité de son système d'information est un enjeu clé pour les directions informatiques. Celles-ci doivent se prémunir contre de multiples menaces. Les solutions de sécurité offertes par le marché sont certes nombreuses, et il est impossible pour un gestionnaire de système d'information de les essayer et de les évaluer toutes et intégralement. La certification permet alors d'orienter le choix des produits de sécurité informatique. Cependant de nombreux labels existent et leur connaissance s'avère d'autant plus importante que le dispositif international des critères communs coexiste avec d'autres labels nationaux, au risque de se chevaucher.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

INTRODUCTION

L'avènement de la société de l'information durant les années 1990 a suscité une montée des besoins en sécurité informatique. L'industrie a réagi en proposant pléthore de matériels et de logiciels permettant de protéger tout ou partie les systèmes d'information.

Ceux-ci sont considérés depuis fort longtemps comme stratégiques et concourant à garantir la souveraineté des États.

Les États, comme les entreprises utilisatrices de produits de sécurité, ont rapidement ressenti le besoin d'évaluer les capacités réelles de protection des produits de sécurité des systèmes d'information (SSI). Les États-Unis ont ainsi créé le Trusted Computer System Evaluation Criteria (TCSEC), appelé aussi « livre orange ». Ce document énonce une série de critères auxquels un système d'information doit répondre pour pouvoir être considéré comme fiable, pour une utilisation par une administration fédérale américaine. L'originalité de ce système d'évaluation est qu'il propose quatre niveaux de sécurité, le choix de ce niveau de sécurité étant fixé par le niveau de sensibilité des informations à gérer par le système d'information.

Dans le même temps, des sociétés privées ont créé des instituts pour évaluer la robustesse des produits de SSI.

Cependant, ce sont les États eux-mêmes qui ont exprimé le besoin le plus fort pour évaluer les produits de SSI. De plus, même les sociétés utilisatrices étaient intéressées par les évaluations réalisées par les États, car elles présentaient une certaine garantie d'indépendance.

Ainsi, les États ont décidé de coordonner leurs efforts en vue de partager le grand nombre de critères d'évaluation des produits de SSI. Ils ont conclu des accords pour que les certificats attestant que les produits SSI répondent à ces critères de sécurité soient reconnus dans d'autres États.

Néanmoins et malgré cet effort, la sécurité des systèmes d'information est souvent considérée comme une prérogative nationale. Souvent, les États ont également développé, parallèlement aux accords internationaux, des systèmes d'évaluation nationaux afin de garder la maîtrise sur les évaluations de produits de SSI.

Tel est le cas de la France. Notre pays est l'un des participants fondateur de l'accord de reconnaissance mutuelle selon les Critères Communs et a créé une autorité de certification nationale pour émettre des certificats selon ses critères (§ 1).

La France a également développé un système de certification national pour :

  • évaluer des produits de SSI issus de la communauté des logiciels libres, c'est-à-dire dont les codes source sont publiés et accessibles (§ 2) ;

  • qualifier des produits de SSI (§ 3), c"est-à-dire donner une appréciation et recommander un produit afin que celui-ci soit utilisé dans les administrations ;

  • agréer des produits SSI (§ 4), c"est-à-dire vérifier que le produit de SSI est apte à protéger les systèmes d'information qui traitent des données classées « Confidentiel Défense ».

L'autorité de certification nationale agrée et contrôle les laboratoires chargés des évaluations de produits SSI (§ 5) et participe au développement et à l'évolution des Critères Communs (§ 6).

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h5825


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation

7. Évolution des Critères Communs

7.1 Processus d'évolution

Les CC ainsi que la méthode d'évaluation associée (CEM) évoluent afin de suivre les évolutions technologiques, mais aussi tenir compte des expériences, suite aux évaluations de produits effectués par les différents centres d'évaluation des pays adhérents. Un comité de pilotage appelé CCDB (Common Criteria Development Board ) assure la maintenance des CC et CEM en traitant les demandes de modifications (Change Proposals, CP) provenant du CCRA.

HAUT DE PAGE

7.2 Évolutions de la version 2.3 à la 3.1

La version 2.3 est la dernière version CC de la série 2.x et ne doit plus être utilisée pour des évaluations débutées après mars 2008. Les opérations de maintenance des produits évalués sur les CC 2.3 peuvent continuer jusqu'à deux ans après la date d'obtention du certificat.

Les CC ont la réputation d'être un ensemble de documents et méthodologies difficilement compréhensibles par les profanes et d'exiger trop de rédaction documentaire. Par conséquent, ils sont vus comme des freins au développement, mal intégrés aux processus de développement et coûteux.

La version 3.1, publiée en septembre 2006, est la version majeure succédant à la V2.3 de 2005. L'objectif est d'alléger les documents de toute redondance dans les processus d'évaluation et d'éliminer les activités contribuant peu ou pas au niveau d'assurance du produit évalué. Enfin, la terminologie a été enrichie et clarifiée afin d'éviter toute erreur d'interprétation. Ainsi, le document « Part 1 : Introduction and General Model » intègre-t-il pas moins de 15 pages de définitions et acronymes. Les termes sont uniformisés avec les terminologies ISO/IEC.

De même, la version 3.1 présente un nouveau concept de conception de cible d'évaluation, plus proche des cycles de développements et de gestion de projets réels. Un PP/ST a par ailleurs été ajouté pour des niveaux d'assurances bas, de type EAL1.

Enfin, les documents CEM sont structurés afin de suivre les CC Part 3 : « Security Assurance Requirements » et peuvent s'appliquer sur des niveaux d'assurance différents de EAL4.

Par contre, il n'existe pas encore de guides de transitions entre les versions.

...

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Évolution des Critères Communs
Sommaire
Sommaire

1 Sites Internet

###

Profil de protection certifié EAL2+ pour les machines à voter http://www.ssi.gouv.fr/fr/confiance/pp/pp_2006_4.html

Profils de protection certifiés http://www.ssi.gouv.fr/fr/confiance/pp.html

Arrangement on the Recognition of Common Criteria Certificates in the field of Information Technology Security http://www.commoncriteriaportal.org/files/operatingprocedures/ cc-recarrange.pdf

Multiple CBs within one country/Commercial CBs http://www.commoncriteriaportal.org/files/operatingprocedures/Multiple%20 or%20commercial%20CBs20MC%20policy%20procedure%202006-09-001% 20v%201.0.pdf

Pour aller plus loin :

Les recommandations du député Lasbordes http://www.lasbordes.fr/article.php3?id_article=166

Amossys, informations recueillies auprès de Frédéric Rémi, président de la société Amossys http://www.amossys.fr

Les documents de l'ANSSI relatifs à la certification de sécurité de premier niveau http://www.ssi.gouv.fr/fr/confiance/cspn-pres.html

Mécanismes cryptographiques – Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques de niveau de robustesse standard, version 1.10 du 19 décembre 2006, réf. no 2741/SGDN/DCSSI/SDS/LCR http://www.ssi.gouv.fr/site_documents/politiqueproduit/Mecanismes_cryptographique_v1_10_standard.pdf

Utilisation...

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS