Sécurité - Critères communs et spécificités CSPN - Partie 1

La sécurité des systèmes d'information - Niveaux d'exigences.

Comme le marché de l'informatique est un marché ouvert et international, la sécurité des systèmes d'information est un sujet international important et souvent partagé par différents états. Très rapidement s'est posée la question du niveau d'exigence en matière de sécurité informatique. Pour exemple, une administration comme le ministère des Armées pourrait-elle acquérir un système informatique de communication chiffré qui aurait été développé dans un autre pays n'ayant pas le même niveau d'éxigence que celui de ce ministère ?

Ces questions se sont posées dans les années 1995 à 2000 et des solutions ont été envisagées pour mettre en place des niveaux d'exigences partagés entre les états. Ce sont les fameux Critères Communs plus connus sous le vocable de "CC-MRA" pour Common Criteria - Mutual Recognition Arrangement. Les normes de la famille ISO 15408

En France, c'est l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) qui a été chargée par décret du 2002-535 du 18 avril 2002 de travailler sur les CC-MRA et sur la norme ISO 15408 et ses 7 niveaux d'exigences EAL. l'ANSSI a également le pouvoir de certifier des produits au regard des 7 niveaux EAL. Sur son site, l'ANSSI précise au sujet de la norme ISO 15408 :

"Née en 1996, la norme ISO 15408 (également baptisée « Common Criteria » ou « Critères Communs ») permet d'avoir une assurance de sécurité sur des criteres précis pour un produit ou un système (matériel de sécurité, firewall, mécanisme de cryptologie..). Elle permet de certifier les niveaux de défense procurés par les composants de sécurité des systèmes d'informations. Cette norme vise à vérifier si un produit est sécurisé ou pas. Plus exactement, elle affecte au produit évalué un niveau de sécurité sur une échelle de 1 à 7. Les critères de validation sont communs entre les grands pays industriels : USA, Japon, Canada, Allemagne, Grande Bretagne, France, Italie ... d'où le nom de "Critères Communs".

Ceux-ci présentent les exigences concernant la sécurité d'un produit ou d'un système des technologies de l'information sous deux formes distinctes :

Les exigences fonctionnelles définissent le comportement de sécurité souhaité ; elles décrivent les fonctionnalités de sécurité que peut mettre en œuvre un produit.

Les exigences d'assurance constituent la base pour acquérir la confiance du fait que les mesures de sécurité sont conformes aux spécifications et sont efficaces.

Les EAL constituent l'échelle d'assurance prédéfinie des "Critères Communs" .
Il en existe sept niveaux :

EAL1 -testé fonctionnellement

EAL2 -testé structurellement

EAL3 -testé et vérifié méthodiquement

EAL4 -conçu, testé et vérifié méthodiquement

EAL5 -conçu et testé de façon semi-formelle

EAL6 -vérifié, conçu et testé de façon semi-formelle

EAL7 -vérifié, conçu et testé de façon formelle

Les produits certifiés CC par l'ANSSI en France

Depuis la mise en place des CC, la France compte plusieurs produits certifiés. Ils se regrouppent en 7 catégories :

Cartes à puce
Chronotachygraphe numérique
Micro-circuits
Produits pour ordinateur personnel et serveur
Produit réseau
Systèmes
Divers

La liste est disponible sur le site de l'ANSSI. Chaque produit certifié est identifié par son nom, sa référence, le nom du commanditaire, le niveau EAL certifié et la date de certification. En date du 15 juin 2018, ce sont 23 produits qui ont été certifiés depuis le début de l'année 2018.

Après quelques années de fonctionnement, le système de certification autour des "CC-RMA" a montré quelques inconvénients : La démarche est très lourde, le temps nécessaire est très long et le coût pour atteindre la certification est important. Tous ces facteurs ont fait de la certification "CC" un graal difficile à porter par les PME et ETI. Devant ce constat la France s'est équipée d'une autre approche pour certifier des produits informatiques : La Certification de Sécurité de Premier Niveau (CSPN) .

La Certification de Sécurité de Premier Niveau (CSPN)

La certification CSPN a été mise en oeuvre en 2008 par l'ANSSI afin de permettre d'évaluer la sécurité d'un produit avec une démarche et un budget maitrisé. Il s'agit d'une certification de sécurité française dont la reconnaissance est limitée à la France mais qui permet de déinir un objectif sécurité et de l'atteindre. Sur son site Internet, l'ANNSI précise :

La CSPN mise en place par l’ANSSI en 2008 consiste en des tests en « boîte noire » effectués en temps et délais contraints. La CSPN est une alternative aux évaluations Critères Communs, dont le coût et la durée peuvent être un obstacle, et lorsque le niveau de confiance visé est moins élevé. Cette certification s’appuie sur des critères, une méthodologie et un processus élaborés par l’ANSSI publiés sur le présent site.

14 catégories différentes permettent de compter plus de 120 produits certifiés :

Stockage sécurisé
Systèmes d'exploitation et de virtualisation
Pare-feu
Détection d'intrusions
Anti-virus, protection contre les codes malveillants
Administration et supervision de la sécurité
Identification, authentification et contrôle d'accès
Communication sécurisée
Messagerie sécurisée
Matériel et logiciel embarqué
Divers
Environnement d'exécution sécurisé
Automate programmable industriel
Commutateur industriel

Cycle de vie CSPN

La certification CSPN concerne un produit de sécurité et repose sur l'évaluation d'une cible de sécurité précise. La certification repose en conséquence sur une version précise du produit certifié. Si une nouvelle version du produit est mise sur le marché, cette dernière ne pourra pas bénéficier du certificat CSPN sans repasser la certification.

A quand la catégorie SAE pouvant prendre en compte la journalisation chaînée NF Z42-013. Peut-être bientôt ...

Christian Dubourg
Directeur marketing produit Spark Archives

Références

Categorie: Sécurité des archives

Tags: sécurité, archivage, CSPN, Critères communs