Les Critères Communs
Les certifications « critères communs » (Common Criteria) sont un standard international pour certifier le niveau de sécurité d’un produit en prenant en compte la conception, le développement et la résistance aux attaques. Le processus de certification, piloté par les agences nationales de sécurité (ANSSI pour la France) est relativement long, un an à un an et demi. L’évaluation est menée par des laboratoires spécialisés (licensed laboratories). En France, les laboratoires CESTI (Centre d’Evaluation de la Sécurité des Technologies de l’Information) sont accrédités par le COFRAC et agréés par l’ANSSI. Les certifications répondent à des besoins réglementaires, commerciaux ou contractuels. Les certifications peuvent concerner les solutions de cybersécurité et, plus largement, toutes les solutions offrant des fonctionnalités de sécurité (équipements réseaux, firewalls, cartes à puces, Hardware Security Module, automates programmables industriels, serveurs SCADA…).
Reconnaissance internationale
Un accord international CCRA (Common Criteria Recognition Arrangement) est signé et régulièrement mis à jour entre les Etats. Actuellement 17 Etats peuvent émettre des certifications dans le cadre de cet accord. 14 Etats n’émettent pas de certificats mais les reconnaissent. Les certificats sont reconnus par tous les signataires de cet accord international.
En Europe, un autre accord SOG-IS (Senior Officials Group Information Systems Security) permet la reconnaissance entre les Etats signataires des certificats délivrés par les autorités de certification. Le France est reconnu jusqu’au niveau EAL 7 pour les deux domaines « microcontrôleurs sécurisés» et « équipements matériels avec boîtiers sécurisés » et jusqu’à EAL 4 pour les autres domaines. 14 Etats européens ont signé SOG-IS.
L’équivalent ISO des critères communs est la norme ISO 15408 qui comprend 3 parties :
- Vue d’ensemble.
- Composants fonctionnels.
- Composants d’assurance.
Echelle de certification
L’échelle comprend 7 niveaux d’assurance d’évaluation :
- EAL1 : testé fonctionnellement/résistant à un attaquant de niveau élémentaire (« script-kiddie »).
- EAL2 : testé structurellement/résistant à un attaquant de niveau faible.
- EAL3 : testé et vérifié méthodiquement/résistant à un attaquant de niveau faible.
- EAL4 : conçu, testé et vérifié méthodiquement/résistant à un attaquant de niveau modéré.
- EAL5 : conçu de façon semi-formelle et testé/résistant à un attaquant de niveau moyen.
- EAL6 : conception vérifiée de façon semi-formelle et système testé/résistant à un attaquant de niveau élevé.
- EAL7 : conception vérifiée de façon formelle et système testé/résistant à un attaquant de niveau élevé.
Concepts clés
L’évaluation comporte deux volets :
- Analyse de la conformité des fonctions de sécurité mises en œuvre à celles attendues et décrites dans la cible de sécurité.
- Analyse de vulnérabilité pour s’assurer qu’il n’est pas possible de contourner les fonctions de sécurité de la TOE, pour un niveau de compétence et de moyens préétabli.
La TOE (Target of Evaluation) désigne le produit à évaluer, la documentation et le processus de développement associés.
La cible de sécurité décrit la TOE, son fonctionnement et expose le problème de sécurité auquel elle doit répondre : informations à protéger, menaces pesant sur ces informations, fonctions de sécurité et conditions d’utilisation du produit prévues pour contrer ces menaces.
Le PP (Protection Profile) est la cible de sécurité générique pour un type de produits et un besoin de sécurité prédéfinis. La certification permet, de manière optionnelle, d’attester de la conformité du produit certifié à un ou plusieurs profils de protection.
Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :
