Critères communs

Un article de Wikipédia, l'encyclopédie libre.

Common Criteria (CC) est un standard international (ISO/CEI 15408) pour la sécurité des systèmes d'information. Le nom complet du standard est Common Criteria for Information Technology Security Evaluation. En français, on emploie souvent l'expression Critères communs.

Sommaire 1 Description 1.1 Partie 1 : introduction et modèle général 1.2 Partie 2 : exigences fonctionnelles de sécurité 1.3 Partie 3 : exigences d'assurance de sécurité 1.4 Méthodologie d'évaluation 2 Concepts clés 3 Systèmes concernés 4 Niveaux de l'évaluation 5 Mise en œuvre 5.1 En France 5.2 En Europe 5.3 Aux États-Unis 6 Voir aussi 7 Liens externes

[modifier] Description

Les critères communs sont disponibles :

• en anglais : en version 3.1 de septembre 2006 (ainsi qu'en versions 2.1, 2.2, et 2.3)
• en français : en version 2.1 d'août 1999

Accès à la documentation sur le site de la DCSSI : Critères et méthologie d'évaluation

Voir résumé sur le site de la DCSSI : Références SSI

[modifier] Partie 1 : introduction et modèle général

Voir détails sur le site de la DCSSI : Introduction et modèle général (version 2.1 en français, 76 pages)

[modifier] Partie 2 : exigences fonctionnelles de sécurité

Voir détails sur le site de la DCSSI : Exigences fonctionnelles de sécurité (vesion 2.1 en français, 394 pages)

Il existe 11 rubriques :

1. Audit de sécurité (FAU)
2. Communication (FCO)
3. Support cryptographique (FCS)
4. Protection des données de l'utilisateur (FDP)
5. Identification et authentification (FIA)
6. Gestion de la sécurité (FMT)
7. Protection de la vie privée (FPR)
8. Protection des fonctions de sécurité de la cible d'évaluation (FPT)
9. Utilisation des ressources (FRU)
10. Accès à la cible d'évaluation (FTA)
11. Chemins et canaux de confiance (FTP)

[modifier] Partie 3 : exigences d'assurance de sécurité

Voir détails sur le site de la DCSSI : Exigences d'assurance de sécurité (version 2.1 en français, 236 pages)

Il existe 10 classes :

1. Évaluation d'un profil de protection (classe APE)
2. Évaluation d'une cible de sécurité (classe ASE)
3. Gestion de configuration (classe ACM)
4. Livraison et exploitation (classe ADO)
5. Développement (classe ADV)
6. Guides (classe AGD)
7. Support au cycle de vie (classe ALC)
8. Tests (classe ATE)
9. Estimation des vulnérabilités (classe AVA)
10. Maintenance de l'assurance (classe AMA)

[modifier] Méthodologie d'évaluation

Voir détails sur le site de la DCSSI : Evaluation methodology (version 3.1 en anglais)

[modifier] Concepts clés

• TOE : objet à certifier

(TOE = Target of Evaluation)

• SFR : spécifications fonctionnelles de sécurité

(Security functional requirements)

• PP : Profil de Protection

(PP = Protection profile)

• ST : cible de sécurité

(ST = Security Target)

[modifier] Systèmes concernés

Les systèmes d'exploitation ("Operating Systems")

Les dispositifs dédiés aux communications :

• Gestionnaires de réseaux,
• Routeurs, commutateurs réseau ("switchs"), hubs,
• Les réseaux privés virtuels (VPN).

Les systèmes consacrés à la sécurité informatique

• Les systèmes d'accès (accès internet,...)
• Les systèmes d'authentification, infrastructure à clés publiques (PKI)/KMI
• Les pare-feux (firewalls)
• Les systèmes de détection d'intrusion (IDS)
• Les logiciels anti-virus
• Les contrôles biométriques.

[modifier] Niveaux de l'évaluation

La certification propose 7 niveaux d'assurance de l'évaluation.

• EAL1 : testé fonctionnellement
• EAL2 : testé structurellement
• EAL3 : testé et vérifié méthodiquement
• EAL4 : conçu, testé et vérifié méthodiquement,
• EAL5 : conçu de façon semi-formelle et testé
• EAL6 : conception vérifiée de façon semi-formelle et testé
• EAL7 : conception vérifiée de façon formelle et testée.

[modifier] Mise en œuvre

[modifier] En France

C'est la DCSSI qui met en œuvre le schéma de certification français. Cet organisme, rattaché au Premier ministre, est en charge de la certification de la sécurité des produits évalués par les CESTI.

[modifier] En Europe

En Europe, l'Information Technology Security Evaluation Criteria (ITSEC) est un standard pour la sécurité des systèmes d'information, qui s'intéresse plus particulièrement à la politique de sécurité des systèmes d'information.

L'ITSEC est le produit du travail commun de plusieurs pays de l'Union européenne, en 1991.

Voir : Information Technology Security Evaluation Criteria (ITSEC)

[modifier] Aux États-Unis

Aux États-Unis, les critères d'évaluation sont définis par la National Security Agency (NSA), agence du département de la défense, au niveau des matériels informatiques et des logiciels.

• Organisme de la NSA chargé de l'évaluation : NIAP
• Trusted Computer System Evaluation Criteria (TCSEC)

La société Mitre est fournisseur du département de la défense sur ces questions.

Voir : http://www.mitre.org/news/the_edge/february_01/highlights.html

[modifier] Voir aussi

• Evaluation Assurance Level
• Exigence
• Politique de sécurité des systèmes d'information
• Profil de protection
• Sécurité des données
• Sécurité des systèmes d'information
• Tiers de confiance

[modifier] Liens externes

• (fr) Certification Critères Communs
• (fr) Guide sur les critères communs
• (en) Common criteria portal
• (en) http://www.infosyssec.org/infosyssec/security/secpol1.htm

• Portail de l’informatique
• Portail de la sécurité de l’information
• Portail de la sécurité informatique