Critères communs

Common Criteria est un standard international pour la sécurité des dispositifs d'information. Le nom complet du standard est Common Criteria for Information Technology Security Evaluation.

Catégories :

Standard en sécurité de l'information - Méthode d'analyse de risques - Cindynique - Assurance - Standard en sécurité informatique

Recherche sur Google Images :

Source image : guideinformatique.com
Cette image est un résultat de recherche de Google Image. Elle est peut-être réduite par rapport à l'originale et/ou protégée par des droits d'auteur.

Page(s) en rapport avec ce sujet :

... tions de fonctions de sécurité. Onze classes de spécifications... La seconde liste définissant les Critères Communs est la liste des exigences d'assurance...... La famille ASE_TSS (Evaluation d'une cible de sécurité... (source : hal.archives-ouvertes)
ou dispositifs soumis à évaluation répond aux caractéristiques de sécurité spécifiées.... concernant la certification selon les Critères Communs est accessible à .... exigences de la classe APE. La totalité des travaux d'évaluation et les ... (source : commoncriteriaportal)
... Class APE. Security Target evaluation. APE_DES. 1 TŒ description. APE_ENV. 1 Security environment. APE_INT. 1 ST introduction... (source : ssi.gouv)

Common Criteria (CC) est un standard international (ISO/CEI 15408) pour la sécurité des dispositifs d'information. Le nom complet du standard est Common Criteria for Information Technology Security Evaluation. En français, on emploie fréquemment l'expression Critères communs.

Les critères communs sont disponibles :

en anglais : en version 3.1 de septembre 2006 (ainsi qu'en versions 2.1, 2.2, et 2.3)
en français : en version 2.1 d'août 1999

Il existe aussi une version 3.0 mais elle n'a presque pas été utilisée.

Accès à la documentation sur le site de l'ANSSI : Critères et méthodologie d'évaluation

Voir résumé sur le site de l'ANSSI : Références SSI

Partie 1 : introduction et modèle général

Cette partie décrit l'organisation générale de la norme et contient un glossaire pour les termes spécifiques.

Voir détails sur le site de l'ANSSI : Introduction et modèle général (version 2.1 en français, 76 pages)

Partie 2 : exigences fonctionnelles de sécurité

Cette partie est un catalogue de fonctionnalités dont le but est d'apporter un langage structuré pour exprimer ce que doit faire un produit de sécurité.

Voir détails sur le site de l'ANSSI : Exigences fonctionnelles de sécurité (version 2.1 en français, 394 pages)

Il existe 11 rubriques :

Audit de sécurité (FAU)
Communication (FCO)
Utilisation de la cryptographie (FCS)
Protection des données de l'utilisateur (FDP)
Identification et authentification (FIA)
Gestion de la sécurité (FMT)
Protection de la vie privée (FPR)
Protection des fonctions de sécurité de la cible d'évaluation (FPT)
Utilisation des ressources (FRU)
Accès à la cible d'évaluation (FTA)
Chemins et canaux de confiance (FTP)

Partie 3 : exigences d'assurance de sécurité

Cette partie est un catalogue d'exigences sur la documentation associé au produit évalué. Il s'agit essentiellement de

la documentation de développement du produit (spécifications, conception, tests, etc), surtout pour les classes ADV et ATE;
la documentation sur l'environnement de développement (ce qui est quelquefois nommé le «manuel qualité» de l'organisation, le plus souvent une société commerciale), surtout pour la classe ALC
et la documentation d'exploitation livrée avec le produit et indiquant comment l'utiliser, le configurer, etc, essentiellement pour la classe AGD.

Il existe 10 classes dans les versions 2. x :

Évaluation d'un profil de protection (classe APE)
Évaluation d'une cible de sécurité (classe ASE)
Gestion de configuration (classe ACM)
Livraison et exploitation (classe ADO)
Développement (classe ADV)
Guides (classe AGD)
Support au cycle de vie (classe ALC)
Tests (classe ATE)
Estimation des vulnérabilités (classe AVA)
Maintenance de l'assurance (classe AMA)

L'organisation des exigences a été perfectionnée en version 3.1 : les classes sont légèrement différentes mais les détails sont identiques.

Voir détails sur le site de l'ANSSI : Exigences d'assurance de sécurité (version 2.1 en français, 236 pages)

Méthodologie d'évaluation

Voir détails sur le site de l'ANSSI : Evaluation methodology (version 3.1 en anglais)

Concepts clés

TŒ (Target of Evaluation): La «cible d'évaluation», est le produit soumis à l'évaluation. Les critères sont censés être génériques mais ils ne s'appliquent correctement que s'il s'agit d'un logiciel.
SFR (Security functional requirements): Les «exigences fonctionnelles de sécurité» désignent la totalité des fonctionnalités de la TŒ, elles sont normalement choisies dans le catalogue de la partie 2.
PP (Protection profile): C'est une description dans une forme standardisée d'un besoin en sécurité et de la manière de le satisfaire à partir des fonctions du catalogue. Cf. l'article Profil de Protection.
ST (Security Target): La «cible de sécurité» est une description dans une forme standardisée, particulièrement comparable à celle d'un profil, de l'utilité annoncée d'un produit de sécurité et des fonctionnalités qu'il apporte. Une cible peut être construite à partir d'un ou plusieurs profils de protection. (Inversement, on considère généralement qu'un profil est une cible indépendante d'un produit. )

Systèmes concernés

Les systèmes d'exploitation ("Operating Systems").

Les systèmes dédiés aux communications :

Gestionnaires de réseaux,
Routeurs, commutateurs réseau ("switchs"), hubs,
Les réseaux privés virtuels (VPN).

Les dispositifs consacrés à la sécurité informatique

Les dispositifs d'accès (accès internet, ... )
Les dispositifs d'authentification, infrastructure à clés publiques (PKI) /KMI
Les pare-feu
Les systèmes de détection d'intrusion (IDS)
Les logiciels anti-virus
Les contrôles biométriques.

Les cartes à puces

Historiquement, le type de produit privilégié par les Critères et ses ancêtres est les dispositifs d'exploitation centralisés. Actuellement (en 2007-2008), le type de produit le plus fréquemment évalué est la carte à puce.

Niveaux de l'évaluation

Article détaillé : Evaluation Assurance Level.

Un niveau d'évaluation correspond à une sélection d'un paquet d'assurance, i. e. un ensemble de «composant» de la partie 3. Les niveaux standards sont cumulatifs, c'est-à-dire que l'ensemble des exigences du niveau n sont comprises dans le niveau n+1. Chaque pays peut aussi définir ses propres paquets d'assurance.

Les Critères Communs définissent 7 niveaux d'assurance de l'évaluation. La liste ci-dessous donne le but résumé de chaque niveau.

EAL1 : testé fonctionnellement
EAL2 : testé structurellement
EAL3 : testé et vérifié méthodiquement
EAL4 : conçu, testé et vérifié méthodiquement,
EAL5 : conçu de façon semi-formelle et testé
EAL6 : conception vérifiée de façon semi-formelle et testé
EAL7 : conception vérifiée de façon formelle et testée.

Mise en œuvre

En France

C'est l'ANSSI qui met en œuvre le schéma de certification français. Cet organisme, rattaché au Premier ministre, est en charge de la certification de la sécurité des produits évalués par les CESTI.

En Europe

En Europe, les Information Technology Security Evaluation Criteria (ITSEC) sont un standard pour la sécurité des systèmes d'information, qui s'intéresse surtout à la politique de sécurité des dispositifs d'information.

Les ITSEC sont le produit du travail commun de plusieurs pays de l'Union européenne, en 1991. Ces critères sont désormais obsolètes et sont censés être remplacés par les critères communs. Ils sont cependant toujours utilisés dans un cadre gouvernemental.

Voir : Information Technology Security Evaluation Criteria (ITSEC)

Aux États-Unis

Aux États-Unis, les critères d'évaluation sont définis par la National Security Agency (NSA), agence du département de la défense, au niveau des matériels informatiques et des logiciels.

Organisme de la NSA chargé de l'évaluation : NIAP
Trusted Computer System Evaluation Criteria (TCSEC)

La société Mitre est fournisseur du département de la défense sur ces questions.

Voir : http ://www. mitre. org/news/the_edge/february_01/highlights. html

Voir aussi

Liens externes

(fr) Certification Critères Communs
(fr) http ://www. guideinformatique. com/fiche-criteres_communs_iso_15408-756. htm Guide sur les critères communs]
(en) Common criteria portal
(en) http ://www. infosyssec. org/infosyssec/security/secpol1. htm

Recherche sur Amazone (livres) :

Principaux mots-clés de cette page : sécurité - classes - évaluation - critères - produit - version - exigences - dispositifs - information - evaluation - communs - partie - protection - assurance - security - anssi - cible - criteria - français - site - profil - testé - documentation - détails - systèmes - niveau - standard - accès - catalogue - exploitation -

Ce texte est issu de l'encyclopédie Wikipedia. Vous pouvez consulter sa version originale dans cette encyclopédie à l'adresse http://fr.wikipedia.org/wiki/Crit%C3%A8res_communs.
Voir la liste des contributeurs.
La version présentée ici à été extraite depuis cette source le 17/12/2010.
Ce texte est disponible sous les termes de la licence de documentation libre GNU (GFDL).
La liste des définitions proposées en tête de page est une sélection parmi les résultats obtenus à l'aide de la commande "define:" de Google.
Cette page fait partie du projet Wikibis.