Cliquez pour atteindre la page correspondante...

La sécurité sur le Net

 La cryptologie :
évaluation et certification française

Introduction

Législation
réglementation française
lois françaises
certification

Cryptologie :
à clés secrètes
 à clés publiques

Stéganographie

Logiciels
 RSA

Signature électronique

 

L'évaluation et la certification vue par le Service Central de la Sécurité des Systèmes d'Information accessible sur : http://www.scssi.gouv.fr/index.html

La sécurité : un besoin croissant

A l'ère des autoroutes de l'information et face au développement de l'espionnage informatique et de la fraude électronique, la sécurité devient impérative. L'utilisation intensive des systèmes ouverts, des architectures client-serveur, la banalisation de l'ordinateur personnel et l'explosion du nombre d'utilisateurs du réseau Internet ont accentué la vulnérabilité de la Société. Les moyens technologiques modernes, qui s'appuient sur les acquis de la cryptologie, permettent désormais de sécuriser les postes de travail, les communications ou le commerce électronique. Mais il est vital d'avoir confiance dans la sécurité offerte. Les utilisateurs pour conforter leur choix, doivent pouvoir comparer objectivement les produits de sécurité disponibles sur le marché. Les fournisseurs, pour s'imposer face à la concurrence, doivent pouvoir apporter une preuve impartiale de la qualité et de l'efficacité de leurs produits. C'est de la prise de conscience de ces besoins respectifs qu'est né "le schéma français d'évaluation et de certification de la sécurité des technologies de l'information". 

Protéger les informations vitales pour l'entreprise

Sans la mise en oeuvre de mesures de sécurité cohérentes, les informations sensibles détenues au sein de l'entreprise sont vulnérables. Il suffit bien souvent d'un simple micro-ordinateur et d'un modem pour qu'un agresseur agissant à distance puisse lire, modifier, détourner les informations ou même paralyser des échanges vitaux pour l'entreprise. La protection des locaux, la sélection rigoureuse du personnel, l'application de consignes d'exploitation apportent une sécurité déjà appréciable mais qu'il convient généralement de renforcer. Ainsi il est indispensable que les produits de sécurité offrent des mesures de protection informatiques performantes. Par exemple, l'authentification par code secret des cartes de paiement ou encore le contrôle des droits d'accès aux fichiers. Et pour une protection fiable et efficace : l'évaluation basée sur des critères objectifs et rigoureux. 

Des critères d'évaluation normalisés

Afin de répondre à ce besoin de sécurité, la Commission Européenne a publié en 1991 les critères d'évaluation ITSEC (Information Technology Security Evaluation Criteria). Ces critères sont aujourd'hui largement utilisés en Europe pour évaluer les produits et systèmes qui mettent en oeuvre des mécanismes de sécurité matériels et logiciels. 

Une reconnaissance internationale

La France, comme l'Allemagne et le Royaume-Uni, dispose d'une structure nationale, dite "schéma d'évaluation et de certification", pour la délivrance de certificats, véritables labels officiels qui attestent de la réussite d'une évaluation. Les certificats émis en France sont déjà reconnus par nos partenaires allemand et britannique avec lesquels des accords de reconnaissance mutuelle ont été négociés. D'autres pays de la Communauté Européenne, parmi lesquels les Pays-Bas, la Suède, l'Italie et l'Espagne, reconnaîtront bientôt nos certificats dans le cadre d'un accord multilatéral. Une nouvelle étape pour la reconnaissance internationale sera franchie dans un proche avenir avec la mise au point puis la normalisation des Critères Communs en collaboration avec les Etats-Unis et le Canada. 

L'évaluation un atout...

L'évaluation, effectuée par une tierce partie indépendante, couvre aussi bien la qualité du développement que l'efficacité des mesures de sécurité. Réalisée par des experts selon des méthodes éprouvées, elle est confirmée par un certificat officiel. 

... pour le gouvernement

Les organismes gouvernementaux doivent mettre en oeuvre des systèmes "sur mesure" qui traitent d'informations sensibles et parfois classifiées. L'évaluation de ces systèmes apporte les moyens pour juger de l'efficacité des mesures de sécurité. Déjà largement adoptée au sein de plusieurs ministères, dont ceux de la défense et de la santé, elle contribue à améliorer le niveau général de la sécurité. 

... pour l'utilisateur

Du simple particulier connecté au réseau Internet à la société chargée de développer et d'intégrer des systèmes complexes, l'utilisateur bénéficie, avec la généralisation de l'évaluation, d'une diversité de produits dont il peut comparer la sécurité sur des bases objectives. Plus exigeant sur la sécurité offerte par les produits du commerce, l'utilisateur averti pourra fonder sa confiance sur une expertise indépendante, évitant de s'en remettre entièrement aux caractéristiques annoncées par le fournisseur. Les entreprises, pour leur part, ont avantage à choisir des produits certifiés, plus largement utilisés et disponibles sur le marché international. C'est le cas par exemple des partenaires commerciaux qui se tourneront de préférence vers les produits certifiés pour communiquer en toute sécurité. De même, les intégrateurs de systèmes disposeront d'un choix plus étendu de logiciels et matériels certifiés pour construire leurs applications spécifiques. 

... pour le fournisseur

Label officiel dont la notoriété dépasse les frontières, le certificat permet à son détenteur non seulement de conquérir des marchés commerciaux en pleine expansion (cartes à puces, "firewall"...) mais également d'accéder aux marchés gouvernementaux nationaux ou internationaux qui imposent des évaluations de sécurité (défense nationale, OTAN...). De plus, l'expérience montre que le seul fait d'adopter la démarche rigoureuse exigée pour une évaluation améliore globalement la qualité du processus de développement et de fabrication. Certificat à l'appui, le développeur peut ainsi pleinement valoriser son savoir-faire. 

Les produits évalués en France

Opérationnel depuis 1995, le schéma national a déjà donné lieu à de nombreuses évaluations, tant dans le domaine de la défense que dans le domaine commercial. Parmi les types de produits évalués, citons notamment : 

  • les sytèmes d'exploitation, 
  • les dispositifs de contrôle d'accès, 
  • les systèmes de combat, 
  • les dispositifs de chiffrement et de communication, 
  • les cartes à microprocesseur, 
  • les "firewall".

C'est sans aucun doute dans ce dernier domaine des plus prometteurs que la France a acquis un savoir-faire et une notoriété internationale. 

Efficacité et rigueur : le schéma

C'est le 1er septembre 1995 qu'a été publié au Journal Officiel de la République française l'avis du Premier ministre relatif à la délivrance de certificats pour la sécurité des produits informatiques contre la malveillance. Ainsi officialisé, le schéma définit l'organisation nécessaire à la conduite des évaluations dans les meilleures conditions de coût, d'efficacité et d'impartialité. Au coeur de cette structure, le Service Central de la Sécurité des Systèmes d'Informations (SCSSI), organisme de certification, agrée et contrôle les centres d'évaluation commerciaux et délivre les certificats à l'issue des évaluations. Le SCSSI rend compte au Comité Directeur pour la certification des technologies de l'informations, qui représente les intérêts des utilisateurs. 

Décider

Le commanditaire, utilisateur ou fournisseur, qui souhaite faire évaluer un produit, peut obtenir conseil et assistance auprès du SCSSI. Après avoir défini avec précision le produit, les fonctions de sécurité et le niveau d'évaluation, il sélectionne librement un centre d'évaluation agréé. Pour cela, il peut procéder à une étude de faisabilité de l'évaluation afin d'en estimer le coût et de mieux appréhender ses chances de réussites. 

Evaluer

Le travail d'évaluation et donc son coût et sa durée dépendent de la nature du produit et du niveau d'évaluation retenu. Le centre d'évaluation analyse la documentation de conception, les plans de test et, pour les niveaux d'évaluation élevés, le code source. Il procède également à des tests de pénétration pour rechercher les vulnérabilités. L'évaluation est suivie par le SCSSI qui valide avec le commanditaire le rapport final d'évaluation, élaboré par le centre d'évaluation. 

Certifier

Le SCSSI établit alors un rapport de certification qui reprend les principales conclusions de l'évaluation et confirme le niveau d'évaluation atteint. Ce rapport peut également recommander des règles d'installation et d'exploitation du produit pour une meilleure sécurité. Le certificat et le rapport de certification s'appliquent uniquement à la version du produit qui a été évaluée. Ces documents sont publiés par le SCSSI. 

Connaître les intervenants

Le Comité Directeur

Sous la présidence du Secrétaire général de la défense nationale, le Comité Directeur réunit des représentants du ministère de l'industrie, du ministère de la défense et du SCSSI. Son rôle : 

  • il veille à maintenir en permanence l'adéquation du schéma aux besoins du secteur commercial, dans le respect des intérêts essentiels de la sécurité de l'Etat ; 
  • il définit la politique de certification ; 
  • il définit la politique d'agrément des centres d'évaluation ; 
  • il traite, en tant qu'instance de recours, tout conflit ou litige qui n'a pu être résolu avec l'organisme de certification ; 
  • il valide les projets d'accords de reconnaissance mutuelle avec des partenaires étrangers.

L'organisme de certification, le SCSSI

Son rôle essentiel consiste à confirmer de façon impartiale que les évaluations ont été effectuées conformément aux critères, méthodes et procédures imposés par le schéma. Ses mission : 

  • il délivre, renouvelle et retire, le cas échéant, les agréments des centres d'évaluation ; 
  • il suit chaque évaluation ; 
  • il attribue, s'il y a lieu, un certificat au terme de chaque évaluation et le publie accompagné du rapport de certification ; 
  • il négocie et met en oeuvre les accords de reconnaissance mutuelle ; 
  • il gère la documentation officielle concernant le schéma ; 
  • il s'efforce de résoudre en première instance par la négociation tout conflit ou litige entre les parties impliquées.

Le commanditaire

Il est l'initiateur de l'évaluation. Ses responsabilités : 

  • il finance l'évaluation ; 
  • il décide, en fonction des menaces contre lesquelles il souhaite se protéger, de ce qui sera exactement évalué dans le produit et à quel niveau ; 
  • il s'assure que le centre d'évaluation pourra disposer en temps voulu des documents, plates-formes, jeux de tests... nécessaires à l'évaluation.

Le développeur

Il réalise les spécifications, la fabrication et la maintenance du produit ou d'une partie de ses composants. Tout en préservant son savoir-faire, le développeur assure : 

  • l'élaboration des documents exigés pour l'évaluation ; 
  • l'assistance technique aux évaluateurs.

Dans certains cas, le développeur est également le commanditaire de l'évaluation. 

Retour haut

Contact : securinet@free.fr

Dernière mise à jour :