|
|||
Législation Cryptologie : Logiciels |
L'évaluation et la certification vue par le Service Central de la Sécurité des Systèmes d'Information accessible sur : http://www.scssi.gouv.fr/index.html La sécurité : un besoin croissant A l'ère des autoroutes de l'information et face au développement de l'espionnage informatique et de la fraude électronique, la sécurité devient impérative. L'utilisation intensive des systèmes ouverts, des architectures client-serveur, la banalisation de l'ordinateur personnel et l'explosion du nombre d'utilisateurs du réseau Internet ont accentué la vulnérabilité de la Société. Les moyens technologiques modernes, qui s'appuient sur les acquis de la cryptologie, permettent désormais de sécuriser les postes de travail, les communications ou le commerce électronique. Mais il est vital d'avoir confiance dans la sécurité offerte. Les utilisateurs pour conforter leur choix, doivent pouvoir comparer objectivement les produits de sécurité disponibles sur le marché. Les fournisseurs, pour s'imposer face à la concurrence, doivent pouvoir apporter une preuve impartiale de la qualité et de l'efficacité de leurs produits. C'est de la prise de conscience de ces besoins respectifs qu'est né "le schéma français d'évaluation et de certification de la sécurité des technologies de l'information". Protéger les informations vitales pour l'entreprise Sans la mise en oeuvre de mesures de sécurité cohérentes, les informations sensibles détenues au sein de l'entreprise sont vulnérables. Il suffit bien souvent d'un simple micro-ordinateur et d'un modem pour qu'un agresseur agissant à distance puisse lire, modifier, détourner les informations ou même paralyser des échanges vitaux pour l'entreprise. La protection des locaux, la sélection rigoureuse du personnel, l'application de consignes d'exploitation apportent une sécurité déjà appréciable mais qu'il convient généralement de renforcer. Ainsi il est indispensable que les produits de sécurité offrent des mesures de protection informatiques performantes. Par exemple, l'authentification par code secret des cartes de paiement ou encore le contrôle des droits d'accès aux fichiers. Et pour une protection fiable et efficace : l'évaluation basée sur des critères objectifs et rigoureux. Des critères d'évaluation normalisés Afin de répondre à ce besoin de sécurité, la Commission Européenne a publié en 1991 les critères d'évaluation ITSEC (Information Technology Security Evaluation Criteria). Ces critères sont aujourd'hui largement utilisés en Europe pour évaluer les produits et systèmes qui mettent en oeuvre des mécanismes de sécurité matériels et logiciels. Une reconnaissance internationale La France, comme l'Allemagne et le Royaume-Uni, dispose d'une structure nationale, dite "schéma d'évaluation et de certification", pour la délivrance de certificats, véritables labels officiels qui attestent de la réussite d'une évaluation. Les certificats émis en France sont déjà reconnus par nos partenaires allemand et britannique avec lesquels des accords de reconnaissance mutuelle ont été négociés. D'autres pays de la Communauté Européenne, parmi lesquels les Pays-Bas, la Suède, l'Italie et l'Espagne, reconnaîtront bientôt nos certificats dans le cadre d'un accord multilatéral. Une nouvelle étape pour la reconnaissance internationale sera franchie dans un proche avenir avec la mise au point puis la normalisation des Critères Communs en collaboration avec les Etats-Unis et le Canada. L'évaluation un atout... L'évaluation, effectuée par une tierce partie indépendante, couvre aussi bien la qualité du développement que l'efficacité des mesures de sécurité. Réalisée par des experts selon des méthodes éprouvées, elle est confirmée par un certificat officiel. ... pour le gouvernement Les organismes gouvernementaux doivent mettre en oeuvre des systèmes "sur mesure" qui traitent d'informations sensibles et parfois classifiées. L'évaluation de ces systèmes apporte les moyens pour juger de l'efficacité des mesures de sécurité. Déjà largement adoptée au sein de plusieurs ministères, dont ceux de la défense et de la santé, elle contribue à améliorer le niveau général de la sécurité. ... pour l'utilisateur Du simple particulier connecté au réseau Internet à la société chargée de développer et d'intégrer des systèmes complexes, l'utilisateur bénéficie, avec la généralisation de l'évaluation, d'une diversité de produits dont il peut comparer la sécurité sur des bases objectives. Plus exigeant sur la sécurité offerte par les produits du commerce, l'utilisateur averti pourra fonder sa confiance sur une expertise indépendante, évitant de s'en remettre entièrement aux caractéristiques annoncées par le fournisseur. Les entreprises, pour leur part, ont avantage à choisir des produits certifiés, plus largement utilisés et disponibles sur le marché international. C'est le cas par exemple des partenaires commerciaux qui se tourneront de préférence vers les produits certifiés pour communiquer en toute sécurité. De même, les intégrateurs de systèmes disposeront d'un choix plus étendu de logiciels et matériels certifiés pour construire leurs applications spécifiques. ... pour le fournisseur Label officiel dont la notoriété dépasse les frontières, le certificat permet à son détenteur non seulement de conquérir des marchés commerciaux en pleine expansion (cartes à puces, "firewall"...) mais également d'accéder aux marchés gouvernementaux nationaux ou internationaux qui imposent des évaluations de sécurité (défense nationale, OTAN...). De plus, l'expérience montre que le seul fait d'adopter la démarche rigoureuse exigée pour une évaluation améliore globalement la qualité du processus de développement et de fabrication. Certificat à l'appui, le développeur peut ainsi pleinement valoriser son savoir-faire. Les produits évalués en France Opérationnel depuis 1995, le schéma national a déjà donné lieu à de nombreuses évaluations, tant dans le domaine de la défense que dans le domaine commercial. Parmi les types de produits évalués, citons notamment :
C'est sans aucun doute dans ce dernier domaine des plus prometteurs que la France a acquis un savoir-faire et une notoriété internationale. Efficacité et rigueur : le schéma C'est le 1er septembre 1995 qu'a été publié au Journal Officiel de la République française l'avis du Premier ministre relatif à la délivrance de certificats pour la sécurité des produits informatiques contre la malveillance. Ainsi officialisé, le schéma définit l'organisation nécessaire à la conduite des évaluations dans les meilleures conditions de coût, d'efficacité et d'impartialité. Au coeur de cette structure, le Service Central de la Sécurité des Systèmes d'Informations (SCSSI), organisme de certification, agrée et contrôle les centres d'évaluation commerciaux et délivre les certificats à l'issue des évaluations. Le SCSSI rend compte au Comité Directeur pour la certification des technologies de l'informations, qui représente les intérêts des utilisateurs. Décider Le commanditaire, utilisateur ou fournisseur, qui souhaite faire évaluer un produit, peut obtenir conseil et assistance auprès du SCSSI. Après avoir défini avec précision le produit, les fonctions de sécurité et le niveau d'évaluation, il sélectionne librement un centre d'évaluation agréé. Pour cela, il peut procéder à une étude de faisabilité de l'évaluation afin d'en estimer le coût et de mieux appréhender ses chances de réussites. Evaluer Le travail d'évaluation et donc son coût et sa durée dépendent de la nature du produit et du niveau d'évaluation retenu. Le centre d'évaluation analyse la documentation de conception, les plans de test et, pour les niveaux d'évaluation élevés, le code source. Il procède également à des tests de pénétration pour rechercher les vulnérabilités. L'évaluation est suivie par le SCSSI qui valide avec le commanditaire le rapport final d'évaluation, élaboré par le centre d'évaluation. Certifier Le SCSSI établit alors un rapport de certification qui reprend les principales conclusions de l'évaluation et confirme le niveau d'évaluation atteint. Ce rapport peut également recommander des règles d'installation et d'exploitation du produit pour une meilleure sécurité. Le certificat et le rapport de certification s'appliquent uniquement à la version du produit qui a été évaluée. Ces documents sont publiés par le SCSSI. Connaître les intervenants Le Comité DirecteurSous la présidence du Secrétaire général de la défense nationale, le Comité Directeur réunit des représentants du ministère de l'industrie, du ministère de la défense et du SCSSI. Son rôle :
L'organisme de certification, le SCSSISon rôle essentiel consiste à confirmer de façon impartiale que les évaluations ont été effectuées conformément aux critères, méthodes et procédures imposés par le schéma. Ses mission :
Le commanditaireIl est l'initiateur de l'évaluation. Ses responsabilités :
Le développeurIl réalise les spécifications, la fabrication et la maintenance du produit ou d'une partie de ses composants. Tout en préservant son savoir-faire, le développeur assure :
Dans certains cas, le développeur est également le commanditaire de l'évaluation. |
Contact : securinet@free.fr
Dernière mise à jour :