INTRODUCTION A LA CERTIFICATION DE LA SÉCURITÉ DES TECHNOLOGIES DE L INFORMATION. Natalya Robert 23 janvier UPMC

Dimension: px
Commencer à balayer dès la page:

Download "INTRODUCTION A LA CERTIFICATION DE LA SÉCURITÉ DES TECHNOLOGIES DE L INFORMATION. Natalya Robert 23 janvier 2015 - UPMC"

Transcription

1 INTRODUCTION A LA CERTIFICATION DE LA SÉCURITÉ DES TECHNOLOGIES DE L INFORMATION Natalya Robert 23 janvier UPMC

2 L ANSSI Qu est ce que c est? 2

3 L ANSSI Agence Nationale de la Sécurité des Systèmes d Informations Créée en 2009 par décret Rattachée au SGDSN Liée directement au PM Réservoir de compétences au profit de l état et des OIV* *Opérateur d Importance Vitale 3

4 L ANSSI Objectifs Doter la France de véritables capacités en SSI Stratégie, Livre Blanc, LPM* Être une puissance mondiale de Cyberdéfense Moyens Prévention Réglementation, labellisation, conseil, formation Défense Gestion d incident, réponses aux crises *Loi de Programmation Militaire 4

5 L ANSSI CCN 5

6 LA CERTIFICATION Décret Service public (impartial, gratuit) Schéma d évaluation et de certification Evaluation CC Microcircuit, cartes, logiciels Evaluation CSPN Pare-feu, communication sécurisée, contrôle d accès, stockage sécurisé Maintenance Continuité de l assurance après une modification non sécuritaire du produit Surveillance Tests de résistance d un produit après certification 6

7 LA CERTIFICATION Groupes de travail internationaux CCRA SOGIS Techniques Agréments des laboratoires Des contacts avec de nombreux industriels 7

8 LA CERTIFICATION Et aussi du domaine public 8

9 LA CERTIFICATION Quels produits? Vous en utilisez? 9

10 LA CERTIFICATION Quels produits? Vous en utilisez? 10

11 LA CERTIFICATION Qu est ce que c est? 11

12 LA CERTIFICATION Label délivré par le PM Critères Communs CSPN Assurance Cible d évaluation Qu est ce que c est? Conformité Cible de sécurité Reconnaissance Profil de protection Standards Analyse de vulnérabilité Travaux d évaluation Qualification Agrément CESTI 12

13 LA CERTIFICATION Un peu d histoire 13

14 LA CERTIFICATION Un peu d histoire des CC 1983 USA Orange Book TCSEC* 1990 FR UK NL GE ITSEC** 1993 CANADA CTCPEC*** 1995 US, Europe, Canada Common Criteria 2012 CC, version 3.1 révision 4 *TCSEC Trusted Computer System Evaluation Criteria **ITSEC Information Technology Security Evaluation Criteria ***CTCPEC Canadian Trusted Computer Product Evaluation Criteria 14

15 LA CERTIFICATION Deux objectifs Développer des critères d évaluation harmonisés entre les nations Assurer la reconnaissance des certificats entre les nations 15

16 RECONNAISSANCE INTERNATIONALE DES RÉSULTATS D ÉVALUATION Accord Européen SOGIS Ouvert aux pays de l UE et de l AELE* 1998 création 2010 dernière mise à jour Reconnaissance des certificats CC Jusqu à EAL 7** (niveau d éval. max.) Cartes à puces Security Boxes EAL4 (niveau moyen) *Accord Européen de Libre Echange **Evaluation Assurance Level, voir à partir de slide 54 16

17 RECONNAISSANCE INTERNATIONALE DES RÉSULTATS D ÉVALUATION Accord Européen SOGIS Ouvert aux pays de l UE et de l AELE* 1998 création 2010 dernière mise à jour Reconnaissance des certificats CC Jusqu à EAL 7** (niveau d éval. max.) Cartes à puces Security Boxes EAL4 (niveau moyen) 5 pays qualifiés pour la carte à puce France, Allemagne, Angleterre, Hollande, Espagne *Accord Européen de Libre Echange **Evaluation Assurance Level, voir à partir de slide 54 17

18 RECONNAISSANCE INTERNATIONALE DES RÉSULTATS D ÉVALUATION Accord Mondial CCRA ouvert à tous les pays 2000 création 2014 dernière maj Reconnaissance des certificats CC Jusqu à EAL 2 (niveau bas) 26 pays

19 RECONNAISSANCE INTERNATIONALE DES RÉSULTATS D ÉVALUATION Accord Mondial CCRA ouvert à tous les pays 2000 création 2014 dernière maj Reconnaissance des certificats CC Jusqu à EAL 2 (niveau bas) 26 pays 17 pays «émetteurs» Australie, Canada, France Allemagne, Inde, Italie, Japon, Malaisie, Hollande, Nouvelle-Zélande, Norvège, Corée, Espagne, Suède, Turquie, Angleterre, Etats-Unis

20 RECONNAISSANCE INTERNATIONALE DES RÉSULTATS D ÉVALUATION Accord Mondial CCRA ouvert à tous les pays 2000 création 2014 dernière maj Reconnaissance des certificats CC Jusqu à EAL 2 (niveau bas) 26 pays 17 pays «émetteurs» Australie, Canada, France Allemagne, Inde, Italie, Japon, Malaisie, Hollande, Nouvelle-zélande, Norvège, Corée, Espagne Suède, Turquie, Angleterre, Etats-Unis 9 pays «consommateurs» Autriche, République Tchèque, Danemark, Finlande, Grèce, Hongrie, Israël, Pakistan, Singapour

21 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 21

22 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 22

23 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 23

24 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 24

25 LES CRITÈRES COMMUNS Quelques notions indispensables! TOE ST PP 25

26 LES CRITÈRES COMMUNS Quelques notions indispensables! TOE Target Of Evaluation - Cible d évaluation 26

27 LES CRITÈRES COMMUNS Quelques notions indispensables! TOE Target Of Evaluation - Cible d évaluation Partie du produit soumise à évaluation 27

28 LES CRITÈRES COMMUNS Quelques notions indispensables! TOE Target Of Evaluation - Cible d évaluation Partie du produit soumise à évaluation Produit 28

29 LES CRITÈRES COMMUNS Quelques notions indispensables! TOE Target Of Evaluation - Cible d évaluation Partie du produit soumise à évaluation Produit TOE 29

30 LES CRITÈRES COMMUNS Quelques notions indispensables! TOE Target Of Evaluation - Cible d évaluation Partie du produit soumise à évaluation Produit Tests de vulnérabilités TOE Tests de conformité 30

31 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Security Target - Cible de sécurité Spécification du besoin de sécurité Définition de ce qui est et ce qui n est pas évalué (cahier des charges) 31

32 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Security Target - Cible de sécurité Biens, menaces, objectifs de sécurité (sur la TOE et l environnement), hypothèses (restrictions d usage) Identification du produit (unique) Cible d évaluation (TOE) Fonctions de sécurité évaluées Cycle de vie Niveau d évaluation EAL Document initial pour lancer une certification Vérification par CCN (non trompeuse, cohérente, charges ) Peut évoluer au cours de l évaluation o o Des vulnérabilités identifiées en évaluation peuvent être couvertes par des hypothèses De nouvelles fonctions de sécurité peuvent être ajoutées 32

33 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Menaces supposées Cible de sécurité 33

34 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Données stockées dans la TOE Données échangées avec le terminal Données de traçabilité Clefs cryptographiques Menaces supposées Cible de sécurité 34

35 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Menaces supposées Cible de sécurité 35

36 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Toute personne ou processus voulant nuire à la sécurité de la TOE définie dans la ST Détenteur du passeport Manipulateur du passeport Menaces supposées Cible de sécurité 36

37 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Menaces supposées Cible de sécurité 37

38 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Imitation du système d inspection Ecoute des communications Modification des données ou des fonctions de sécurité Effacement des données Fuite d information Menaces supposées Clonage du passeport Cible de sécurité 38

39 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Données stockées dans la TOE Personne possédant un ou plusieurs documents «légitimes» Clonage du passeport Cible de sécurité Menaces supposées 39

40 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Menaces supposées Cible de sécurité Objectifs de sécurité sur la TOE Objectifs de sécurité sur l environnement de la TOE 40

41 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Menaces supposées Cible de sécurité Objectifs de sécurité sur la TOE 41

42 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Cible de sécurité Menaces supposées La TOE doit assurer l intégrité des données de l utilisateur stockées dans le passeport et échangées pendant les communications avec le terminal La TOE doit assurer l authenticité des données de l utilisateur échangées avec le terminal La TOE doit assurer la confidentialité des données de l utilisateur La TOE doit empêcher la récolte des données de traçabilités Objectifs de sécurité sur la TOE La TOE doit être protégée contre la fuite d information, falsification, le dysfonctionnement 42

43 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Menaces supposées Cible de sécurité Objectifs de sécurité sur la TOE Objectifs de sécurité sur l environnement de la TOE 43

44 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité L émetteur du passeport doit le délivrer et accepter l usage du terminal conformément aux lois et régulations en vigueur L émetteur du passeport doit s assurer que les agents de personnalisation inscrivent les bonnes données (identité, biométrie ) Cible de sécurité Menaces supposées Le terminal doit respecter certaines règles (crypto, protocoles, confidentialité ) Le pays émetteur doit respecter certaines règles (infrastructures de clefs publiques, examen du passeport du voyageur pour vérifier son authenticité ) Objectifs de sécurité sur la TOE Objectifs de sécurité sur l environnement de la TOE 44

45 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Menaces supposées Hypothèses Cible de sécurité Objectifs de sécurité sur le produit Objectifs de sécurité sur l environnement du produit 45

46 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Le pays émetteur ou «receveur» établit une infrastructure de clefs publiques pour l authentification Cible de sécurité Menaces supposées Le pays émetteur gère une CA qui, de manière sécurisé, génère, stocke et utilise une paire de clefs de signature du pays Hypothèses Objectifs de sécurité sur le produit Objectifs de sécurité sur l environnement du produit 46

47 LES CRITÈRES COMMUNS Quelques notions indispensables! PP Protection Profile Profil de protection Cible générique pour un type de produit défini et pour un usage donné Contient déjà la trame (biens, menaces, objectifs ) Défini déjà le besoin de sécurité Rédaction par un ensemble de commanditaires ou d acteurs d un type de produit (PP passeport, PP SSCD, PP tachographe, PP JavaCard ) Intérêt: permet de s assurer qu un produit est conforme à un besoin de sécurité déterminé (pas de modification de la TOE en cours d évaluation pour échapper à des vulnérabilités) 47

48 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 48

49 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 49

50 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 50

51 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 51

52 C est quoi les CC? Ensemble de règles auquel un produit peut se conformer Plusieurs niveaux: «EAL» (1->7) Niveau de conformité ADV, AGD, ALC, ASE, ATE Niveau de résistance aux attaques AVA_VAN 52

53 EAL Classe ADV: Développement AGD: Guides d utilisation ALC: Support au cycle de vie ASE: Evaluation de la cible de sécurité ATE Tests Famille Intitulé du composant ADV_ARC Security Architecture Description ADV_FSP Functional specification ADV_IMP Implementation ADV_INT Internals structure ADV_SPM 1 1 Security policy model ADV_TDS TOE Design AGD_OPE Operational user guidance AGD_PRE Preparative procedures ALC_CMC Configuration management capabilities ALC_CMS Configuration management scope ADO_DEL Delivery ALC_DVS Development security ALC_FLR Flaw remediation ALC_LCD Life Cycle definition ALC_TAT Tools and technique ASE_CCL Conformance claims ASE_ECD Extended components definition ASE_INT ST introduction ASE_OBJ Security objectives ASE_REQ Security requirements ASE_SPD Security Problem definition ASE_TSS TOE summary specification ATE_COV Analysis of coverage ATE_DPT Depth ATE_FUN Functional testing ATE_IND Independent testing AVA Estimation des vulnérabilités AVA_VAN Vulnerabilty Analysis 53

54 EAL Classe ADV: Développement AGD: Guides d utilisation ALC: Support au cycle de vie ASE: Evaluation de la cible de sécurité ATE Tests Famille Intitulé du composant ADV_ARC Security Architecture Description ADV_FSP Functional specification ADV_IMP Implementation ADV_INT Internals structure ADV_SPM 1 1 Security policy model ADV_TDS TOE Design AGD_OPE Operational user guidance AGD_PRE Preparative procedures ALC_CMC Configuration management capabilities ALC_CMS Configuration management scope ADO_DEL Delivery ALC_DVS Development security ALC_FLR Flaw remediation ALC_LCD Life Cycle definition ALC_TAT Tools and technique ASE_CCL Conformance claims ASE_ECD Extended components definition ASE_INT ST introduction ASE_OBJ Security objectives ASE_REQ Security requirements ASE_SPD Security Problem definition ASE_TSS TOE summary specification ATE_COV Analysis of coverage ATE_DPT Depth ATE_FUN Functional testing ATE_IND Independent testing AVA Estimation des vulnérabilités AVA_VAN Vulnerabilty Analysis 54

55 Exemple* (conformité) ASE_CCL.1 «The conformance claim shall contain a CC conformance claim that identifies the version of the CC to which the ST claim conformance» *CC Part3, version 3.1 R4 55

56 «The conformance claim shall contain a CC conformance claim that identifies the version of the CC to which the ST Claim Conformance» 56

57 «The conformance claim shall contain a CC conformance claim that identifies the version of the CC to which the ST Claim Conformance» 57

58 «The conformance claim shall contain a CC conformance claim that identifies the version of the CC to which the ST Claim Conformance» 58

59 «The conformance claim shall contain a CC conformance claim that identifies the version of the CC to which the ST Claim Conformance» «The conformance claim shall describe any conformance of the ST to a package as either package-conformant or package-augmented» 59

60 «The conformance claim shall contain a CC conformance claim that identifies the version of the CC to which the ST Claim Conformance» «The conformance claim shall describe any conformance of the ST to a package as either package-conformant or package-augmented» 60

61 EAL Classea ADV: Développement AGD: Guides d utilisation ALC: Support au cycle de vie ASE: Evaluation de la cible de sécurité ATE Tests Famille Intitulé du composant ADV_ARC Security Architecture Description ADV_FSP Functional specification ADV_IMP Implementation ADV_INT Internals structure ADV_SPM 1 1 Security policy model ADV_TDS TOE Design AGD_OPE Operational user guidance AGD_PRE Preparative procedures ALC_CMC Configuration management capabilities ALC_CMS Configuration management scope ADO_DEL Delivery ALC_DVS Development security ALC_FLR Flaw remediation ALC_LCD Life Cycle definition ALC_TAT Tools and technique ASE_CCL Conformance claims ASE_ECD Extended components definition ASE_INT ST introduction ASE_OBJ Security objectives ASE_REQ Security requirements ASE_SPD Security Problem definition ASE_TSS TOE summary specification ATE_COV Analysis of coverage ATE_DPT Depth ATE_FUN Functional testing ATE_IND Independent testing AVA Estimation des vulnérabilités AVA_VAN Vulnerabilty Analysis 61

62 EAL Classea ADV: Développement AGD: Guides d utilisation ALC: Support au cycle de vie ASE: Evaluation de la cible de sécurité ATE Tests Famille Intitulé du composant ADV_ARC Security Architecture Description ADV_FSP Functional specification ADV_IMP Implementation ADV_INT Internals structure ADV_SPM 1 1 Security policy model ADV_TDS TOE Design AGD_OPE Operational user guidance AGD_PRE Preparative procedures ALC_CMC Configuration management capabilities ALC_CMS Configuration management scope ADO_DEL Delivery ALC_DVS Development security ALC_FLR Flaw remediation ALC_LCD Life Cycle definition ALC_TAT Tools and technique ASE_CCL Conformance claims ASE_ECD Extended components definition ASE_INT ST introduction ASE_OBJ Security objectives ASE_REQ Security requirements ASE_SPD Security Problem definition ASE_TSS TOE summary specification ATE_COV Analysis of coverage ATE_DPT Depth ATE_FUN Functional testing ATE_IND Independent testing AVA Estimation des vulnérabilités AVA_VAN Vulnerabilty Analysis 62

63 Analyse de vulnérabilité AVA_SOF AVA_VLA ACM_AUT ACM_CAP ACM_SCP Environnement AVA_MSU ALC_DVS AVA_CCA ALC_LCD Test fonctionnels ATE_IND ATE_FUN ALC_TAT ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 1 ADV_INT ADV_IMP AGD_USR ADV_FSP Documentation ADV_SPM Conception ADV_LLD ADV_HLD Valable pour une ancienne version des Critères Communs 63

64 Analyse de vulnérabilité AVA_SOF AVA_VLA ACM_AUT ACM_CAP ACM_SCP Environnement AVA_MSU ALC_DVS AVA_CCA ALC_LCD ATE_IND ALC_TAT Test fonctionnels ATE_FUN ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 2 ADV_INT ADV_IMP ADV_SPM Conception ADV_FSP ADV_HLD ADV_LLD AGD_USR Documentation Valable pour une ancienne version des Critères Communs 64

65 Analyse de vulnérabilité AVA_VLA ACM_AUT ACM_CAP Environnement AVA_SOF ACM_SCP AVA_MSU ALC_DVS AVA_CCA ALC_LCD ATE_IND ALC_TAT Test fonctionnels ATE_FUN ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 3 ADV_INT ADV_IMP ADV_SPM Conception AGD_USR Documentation ADV_FSP ADV_HLD ADV_LLD Valable pour une ancienne version des Critères Communs 65

66 Analyse de vulnérabilité AVA_VLA ACM_AUT ACM_CAP Environnement AVA_SOF ACM_SCP AVA_MSU ALC_DVS AVA_CCA ALC_LCD Test fonctionnels ATE_IND ALC_TAT ATE_FUN ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 4 ADV_INT ADV_IMP ADV_SPM Conception AGD_USR ADV_FSP ADV_HLD ADV_LLD Documentation Valable pour une ancienne version des Critères Communs 66

67 Analyse de vulnérabilité AVA_VLA ACM_AUT ACM_CAP Environnement AVA_SOF ACM_SCP AVA_MSU ALC_DVS AVA_CCA ALC_LCD Test fonctionnels ATE_IND ATE_FUN ALC_TAT ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 5 ADV_INT ADV_IMP ADV_SPM Conception AGD_USR Documentation ADV_FSP ADV_HLD ADV_LLD Valable pour une ancienne version des Critères Communs 67

68 Analyse de vulnérabilité AVA_VLA ACM_AUT ACM_CAP Environnement AVA_SOF ACM_SCP AVA_MSU ALC_DVS AVA_CCA ALC_LCD ATE_IND ALC_TAT Test fonctionnels ATE_FUN ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 6 ADV_INT ADV_IMP ADV_SPM ADV_LLD ADV_FSP ADV_HLD AGD_USR Documentation Conception Valable pour une ancienne version des Critères Communs 68

69 Analyse de vulnérabilité AVA_VLA ACM_AUT ACM_CAP Environnement AVA_SOF ACM_SCP AVA_MSU ALC_DVS AVA_CCA ALC_LCD Test fonctionnels ATE_IND ALC_TAT ATE_FUN ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 7 ADV_INT ADV_IMP ADV_SPM Conception AGD_USR ADV_FSP ADV_HLD ADV_LLD Documentation Valable pour une ancienne version des Critères Communs 69

70 Niveau des certification de produit en général Microcircuits EAL5-6, AVA_VAN.5 Cartes à puce EAL4-5, AVA_VAN.5 Logiciels EAL3, AVA_VAN.3 70

71 Le niveau AVA_VAN Dans les critères*: succinct mais objectif! *CC, Part3, V3, R4 71

72 Le niveau AVA_VAN Dans les critères: succinct mais objectif! The developer shall provide the TOE for testing 72

73 Le niveau AVA_VAN Dans les critères: succinct mais objectif! The developer shall provide the TOE for testing The TOE shall be suitable for testing 73

74 Le niveau AVA_VAN Dans les critères: succinct mais objectif! The developer shall provide the TOE for testing The TOE shall be suitable for testing The evaluator shall perform a search of public domain sources to identify potential vulnerabilities in the TOE 74

75 Le niveau AVA_VAN Dans les critères: succinct mais objectif! The developer shall provide the TOE for testing The TOE shall be suitable for testing The evaluator shall perform a search of public domain sources to identify potential vulnerabilities in the TOE The evaluator shall perform an independent, methodical vulnerability analysis of the TOE using the guidance documentation, functional specification, TOE design, security architecture description and implementation representation to identify potential vulnerabilities in the TOE 75

76 Le niveau AVA_VAN Dans les critères: succinct mais objectif! The developer shall provide the TOE for testing The TOE shall be suitable for testing The evaluator shall perform a search of public domain sources to identify potential vulnerabilities in the TOE The evaluator shall perform an independent, methodical vulnerability analysis of the TOE using the guidance documentation, functional specification, TOE design, security architecture description and implementation representation to identify potential vulnerabilities in the TOE The evaluator shall conduct penetration testing based on the identified potential vulnerabilities to determine that the TOE is resistant to attacks performed by an attacker possessing Basic / Enhanced-Basic / Moderate / High attack potential 76

77 Le niveau AVA_VAN Dans les critères*: succinct mais objectif! The developer shall provide the TOE for testing The TOE shall be suitable for testing The evaluator shall perform a search of public domain sources to identify potential vulnerabilities in the TOE The evaluator shall perform an independent, methodical vulnerability analysis of the TOE using the guidance documentation, functional specification, TOE design, security architecture description and implementation representation to identify potential vulnerabilities in the TOE The evaluator shall conduct penetration testing based on the identified potential vulnerabilities to determine that the TOE is resistant to attacks performed by an attacker possessing Basic / Enhanced-Basic / Moderate / High attack potential AVA_VAN.3 AVA_VAN.4 AVA_VAN.5 AVA_VAN.1 AVA_VAN.2 77

78 Le niveau AVA_VAN pour les Cartes à puce Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? 78

79 Le niveau AVA_VAN pour les Cartes à puces Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? Table de cotation* *Application of Attack Potential to Smartcards, v2.9 CCDB

80 Le niveau AVA_VAN pour les Cartes à puces Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? Table de cotation AVA_VAN

81 Le niveau AVA_VAN pour les Cartes à puces Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? Table de cotation AVA_VAN.1-2 AVA_VAN.3 81

82 Le niveau AVA_VAN pour les Cartes à puces Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? Table de cotation AVA_VAN.3 AVA_VAN.1-2 AVA_VAN.4 82

83 Le niveau AVA_VAN pour les Cartes à puces Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? Table de cotation AVA_VAN.1-2 AVA_VAN.3 AVA_VAN.4 AVA_VAN.5 83

84 Le niveau AVA_VAN pour les Cartes à puces Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? Table de cotation AVA_VAN.1-2 AVA_VAN.3 AVA_VAN.4 AVA_VAN.5 84

85 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 85

86 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères* *Application of Attack Potential to Smartcards, v2.9 CCDB

87 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 87

88 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 2. Niveau d expertise 88

89 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 2. Niveau d expertise 3. Connaissance du produit 89

90 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 2. Niveau d expertise 3. Connaissance du produit 4. Accessibilité au produit 90

91 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 2. Niveau d expertise 3. Connaissance du produit 4. Accessibilité au produit 5. Equipement nécessaire 91

92 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 2. Niveau d expertise 3. Connaissance du produit 4. Accessibilité au produit 5. Equipement nécessaire A chaque critère une table de cotation 92

93 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 93

94 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 2. Niveau d expertise Layman: pas d expertise particulière Proficient: connaissance d attaques classiques et concepts de sécurité Expert: connaissances des algorithmes, protocoles, structures HW, principes et concepts de sécurité techniques et outils pour définir de nouvelles attaques Multiple Expert: niveau «expert» sur différents niveaux d attaque (par exemple manipulation HW et crypto) 94

95 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 3. Connaissance du produit Public: information dans le domaine publique Restricted: information utilisé lors du développement de la puce (spécifications, guides, documents de préparation ) Sensitive: information HLD et LLD Critical: implémentation (design et code source) Very critical: informations et outils spécifiques et propre au produit 95

96 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 4. Accessibilité au produit 96

97 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 5. Equipement nécessaire Standard: oscilloscope de base, lecteur de carte, PC, logiciel d analyse ou de génération de signal Specialized: oscilloscope haut de gamme, microscope UV, equipement lazer, micro sonde, outils de gravure chimique Bespoke: FIB (Focused Ion Beam), SEM (Scanning electron mircroscope), AFM (Atomic Force Microscope) Multiple Bespoke: équipements «bespoke» sur différents niveaux de l attaque 97

98 98

99 TOTAL 99

100 Exemple Pour une DPA? Layman: pas d expertise particulière Proficient: connaissance d attaques classiques et concepts de sécurité Expert: connaissances des algorithmes, protocoles, structures HW, principes et concepts de sécurité techniques et outils pour définir de nouvelles attaques Multiple Expert: niveau «expert» sur différents niveaux d attaque (par exemple manipulation HW et crypto) Standard: oscilloscope de base, lecteur de carte, PC Specialized: oscilloscope haut de gamme, microscope UV Bespoke: FIB (Focused Ion Beam), AFM (Atomic Force Microscope) Multiple Bespoke: équipements «bespoke» sur différents niveaux de l attaque 100

101 Exemple Pour une DPA? Layman: pas d expertise particulière Proficient: connaissance d attaques classiques et concepts de sécurité Expert: connaissances des algorithmes, protocoles, structures HW, principes et concepts de sécurité techniques et outils pour définir de nouvelles attaques Multiple Expert: niveau «expert» sur différents niveaux d attaque (par exemple manipulation HW et crypto) Standard: oscilloscope de base, lecteur de carte, PC Specialized: oscilloscope haut de gamme, microscope UV Bespoke: FIB (Focused Ion Beam), AFM (Atomic Force Microscope) Multiple Bespoke: équipements «bespoke» sur différents niveaux de l attaque 101

102 Exemple Pour une DPA? Layman: pas d expertise particulière Proficient: connaissance d attaques classiques et concepts de sécurité Expert: connaissances des algorithmes, protocoles, structures HW, principes et concepts de sécurité techniques et outils pour définir de nouvelles attaques Multiple Expert: niveau «expert» sur différents niveaux d attaque (par exemple manipulation HW et crypto) Standard: oscilloscope de base, lecteur de carte, PC Specialized: oscilloscope haut de gamme, microscope UV Bespoke: FIB (Focused Ion Beam), AFM (Atomic Force Microscope) Multiple Bespoke: équipements «bespoke» sur différents niveaux de l attaque 102

103 Exemple Pour une DPA? Layman: pas d expertise particulière Proficient: connaissance d attaques classiques et concepts de sécurité Expert: connaissances des algorithmes, protocoles, structures HW, principes et concepts de sécurité techniques et outils pour définir de nouvelles attaques Multiple Expert: niveau «expert» sur différents niveaux d attaque (par exemple manipulation HW et crypto) Standard: oscilloscope de base, lecteur de carte, PC Specialized: oscilloscope haut de gamme, microscope UV Bespoke: FIB (Focused Ion Beam), AFM (Atomic Force Microscope) Multiple Bespoke: équipements «bespoke» sur différents niveaux de l attaque 103

104 Exemple Pour une DPA? Layman: pas d expertise particulière Proficient: connaissance d attaques classiques et concepts de sécurité Expert: connaissances des algorithmes, protocoles, structures HW, principes et concepts de sécurité techniques et outils pour définir de nouvelles attaques Multiple Expert: niveau «expert» sur différents niveaux d attaque (par exemple manipulation HW et crypto) Standard: oscilloscope de base, lecteur de carte, PC Specialized: oscilloscope haut de gamme, microscope UV Bespoke: FIB (Focused Ion Beam), AFM (Atomic Force Microscope) Multiple Bespoke: équipements «bespoke» sur différents niveaux de l attaque 104

105 Exemple Pour une DPA? Layman: pas d expertise particulière Proficient: connaissance d attaques classiques et concepts de sécurité Expert: connaissances des algorithmes, protocoles, structures HW, principes et concepts de sécurité techniques et outils pour définir de nouvelles attaques Multiple Expert: niveau «expert» sur différents niveaux d attaque (par exemple manipulation HW et crypto) Standard: oscilloscope de base, lecteur de carte, PC Specialized: oscilloscope haut de gamme, microscope UV Bespoke: FIB (Focused Ion Beam), AFM (Atomic Force Microscope) Multiple Bespoke: équipements «bespoke» sur différents niveaux de l attaque 105

106 Exemple Pour une DPA? TOTAL = 15 points! 106

107 Le niveau AVA_VAN pour les Cartes à puces Analyse de vulnérabilité Vulnérabilité potentielle Réalisation de l attaque dans l environnement d exploitation prévue L attaque échoue Vulnérabilité non exploitable L attaque réussie Cotation > niveau visé < niveau visé Vulnérabilité résiduelle Vulnérabilité exploitable 107

108 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 108

109 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 109

110 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 110

111 LA CERTIFICATION Exemples certificats CC 111

112 LA CERTIFICATION Et la CSPN? 2006 Création 2008 Début de l expérimentation 2011 Officialisation 112

113 Et pourquoi? Les évaluations CC coûtent cher et sont souvent longues (parfois 1 an ou 2, phénomène essentiellement lié à la maturité des développeurs et du produit) L évaluation CC est un processus mal adapté aux produits à faible retour sur investissement En 2008, mise en place d un processus d évaluation en charges et temps contraints 113

114 CSPN Qu est qu une CSPN? 114

115 CSPN Qu est qu une CSPN? Méthodologie publique française Expertise technique avec des méthodes d évaluation spécifique Différents domaines Anti-virus Pare-feu Contrôle d accès Stockage sécurisé Set Top Box Matériel, logiciel embarqué 115

116 CSPN Qu est qu une CSPN? Charges contraintes de 25h.j. + 10h.j. si crypto Si cryptographie analyse obligatoire Boîte noire Niveau unique Pas de correction possible du produit Processus mis en place en 2008 Beaucoup d échecs! 116

117 CSPN CC EAL 1 à 7 Boîte grise-blanche Accords de reconnaissance des certificats Pas de contraintes de temps Mise à jour du produit possible durant l évaluation Connaissance des CC par le développeur pour fournir des documents conformes Coût relativement élevé (60 à 200K ) CSPN Niveau unique Boîte noire Aucun accord : reconnaissance francofrançaise Temps imposé: 25 h.j (+10 si crypto), adaptation si cas particulier Version du produit figée Aucune connaissance spécifique nécessaire pour le développeur Coût relativement faible (25 à 35K ) 117

118 LA CERTIFICATION Exemples certificats CSPN 118

119 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 119

120 LA CERTIFICATION Par qui sont fait ces tests et analyses? 120

121 LA CERTIFICATION Par qui sont fait ces tests et analyses? CESTI Centre d Évaluation de la Sécurité des Technologies de l Information 121

122 LA CERTIFICATION Par qui sont fait ces tests et analyses? CESTI Centre d Évaluation de la Sécurité des Technologies de l Information Laboratoires agrées par l ANSSI Compétence Expertise dans certains domaines Pour les CC, reconnu à l international (SOGIS) Seuls à pouvoir mener une évaluation CC et CSPN et à pouvoir soumettre ses résultats d évaluation à l ANSSI 9 laboratoires : 3 CC/CSPN matériel 3 CC/CSPN logiciel 3 uniquement CSPN logiciel 122

123 LA CERTIFICATION Comment sont validés les résultats des CESTI? 123

124 LA CERTIFICATION Comment sont validés les résultats des CESTI? RTE Rapport technique d évaluation 124

125 LA CERTIFICATION Comment sont validés les résultats des CESTI? RTE Rapport technique d évaluation Soumis à l ANSSI en fin d évaluation Résultats d évaluation Niveau conformité ADV, AGD, ALC, ASE, ATE Niveau technique AVA Verdict final (le produit est-il bien résistant au niveau visé?) Confidentiel! Validé (ou pas) par le CCN avec l aide d experts techniques internes suivants les domaines Si validation, donne lieu à un certificat et un rapport de certification 125

126 LA CERTIFICATION Exemples certificats CC ou CSPN 126

127 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 127

128 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 128

129 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 129

130 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 130

131 LES MOTIVATIONS Approche sécuritaire Approche marketing Approche réglementaire 131

132 LES MOTIVATIONS Approche sécuritaire Se convaincre que la solution utilisée est sûre En visant un haut niveau de confiance En ne publiant pas forcément les certificats Et en faisant parfois réaliser des expertises complémentaires En centrant l évaluation sur l analyse de vulnérabilités Donneurs d ordre : banques, opérateurs de télécommunications, défense 132

133 LES MOTIVATIONS Approche marketing Syndrome du contrôle technique automobile: Peu importe ce que l on évalue, qui fait l évaluation, où elle se déroule: l important est d avoir le certificat Le prix est prépondérant Les CC ont mis un peu d ordre dans la définition des TOE Généralement conduite par les développeurs (exemples: éditeurs de produits de sécurité) 133

134 LES MOTIVATIONS Approche réglementaire Tout est imposé (la cible de sécurité ou le PP, le niveau visé, etc.) En fort développement aujourd hui Exemples: CEE pour chronotachygraphe, BdF pour porte-monnaie électronique, CEE pour signature électronique, labellisation pour les administrations 134

135 En France: 646 produits certifiés Critères Communs depuis 1995! Statistiques ANSSI-CCN Novembre

136 Parmi les leaders dans le monde! Statistiques CCRA Novembre

137 CSPN: depuis 2009* 96 évaluations, 40 certificats PP: 51* en évaluation *Statistiques ANSSI-CCN Novembre

138 Evolution des certifications CC en France PP 8 96 Produits Statistiques ANSSI-CCN Janvier

139 Evolution des certifications CSPN en France Statistiques ANSSI-CCN Novembre

Rapport de certification ANSSI-CC-2014/36. ZonePoint version 3.0, build 330

Rapport de certification ANSSI-CC-2014/36. ZonePoint version 3.0, build 330 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2014/36 ZonePoint version

Plus en détail

Rapport de certification ANSSI-CC-2012/47. EJBCA, version 5.0.4

Rapport de certification ANSSI-CC-2012/47. EJBCA, version 5.0.4 PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2012/47 EJBCA, version 5.0.4

Plus en détail

Rapport de certification ANSSI-CC-2014/89. TheGreenBow VPN Client

Rapport de certification ANSSI-CC-2014/89. TheGreenBow VPN Client PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2014/89 TheGreenBow VPN

Plus en détail

Rapport de certification DCSSI-PP 2008/01 du profil de protection «Pare-feu personnel» (ref : PP-PFP, version 1.7)

Rapport de certification DCSSI-PP 2008/01 du profil de protection «Pare-feu personnel» (ref : PP-PFP, version 1.7) PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d'information Rapport de certification DCSSI-PP 2008/01 du profil de protection (ref : PP-PFP,

Plus en détail

Rapport de certification DCSSI-2009/16. Logiciel OpenTrust PKI version 4.3.4

Rapport de certification DCSSI-2009/16. Logiciel OpenTrust PKI version 4.3.4 PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information version 4.3.4 Paris, le 7 juillet 2009 Le Directeur central de la sécurité des

Plus en détail

Rapport de certification ANSSI-CC-2014/26. SOMA801STM - application EAC, version 1.0

Rapport de certification ANSSI-CC-2014/26. SOMA801STM - application EAC, version 1.0 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2014/26 SOMA801STM - application

Plus en détail

Rapport de certification ANSSI-2009/29. Suite logicielle IPS-Firewall pour boîtiers appliances NETASQ, version 8.0.1.1

Rapport de certification ANSSI-2009/29. Suite logicielle IPS-Firewall pour boîtiers appliances NETASQ, version 8.0.1.1 PREMIER MINISTRE Secrétariat général de la défense nationale Agence nationale de la sécurité des systèmes d information Suite logicielle IPS-Firewall pour boîtiers appliances, Paris, le 29 juillet 2009

Plus en détail

TOTAL STREAM PROTECTION IS THE KEY. Les critères communs et la certification. Christian Damour christian.damour@aql.fr. Yann Berson yann@webwasher.

TOTAL STREAM PROTECTION IS THE KEY. Les critères communs et la certification. Christian Damour christian.damour@aql.fr. Yann Berson yann@webwasher. TOTAL STREAM PROTECTION IS THE KEY Les critères communs et la certification Christian Damour christian.damour@aql.fr Yann Berson yann@webwasher.com Agenda Historique des critères communs Que sont les critères

Plus en détail

Rapport de certification ANSSI-CC-2013/17. Suite logicielle IPS-Firewall pour boîtiers NETASQ, version 8.1.7.1

Rapport de certification ANSSI-CC-2013/17. Suite logicielle IPS-Firewall pour boîtiers NETASQ, version 8.1.7.1 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2013/17 Suite logicielle

Plus en détail

Rapport de certification ANSSI-CC-2015/07. Xaica-AlphaPLUS Version 0116 (PQV) / 0100 (SPI-001 03)

Rapport de certification ANSSI-CC-2015/07. Xaica-AlphaPLUS Version 0116 (PQV) / 0100 (SPI-001 03) PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2015/07 Xaica-AlphaPLUS

Plus en détail

Rapport de certification DCSSI-2008/38. ExaProtect Security Management Solution (SMS)

Rapport de certification DCSSI-2008/38. ExaProtect Security Management Solution (SMS) PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information ExaProtect Security Management Solution (SMS) Paris, le 27 novembre 2008 Le Directeur

Plus en détail

Rapport de certification ANSSI-CC-2013/64

Rapport de certification ANSSI-CC-2013/64 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2013/64 Carte à puce SLJ

Plus en détail

Rapport de certification ANSSI-CC-2012/11. Application Mobile PayPass 1.0 sur plateforme Orange NFC V2 G1 sur composant ST33F1ME

Rapport de certification ANSSI-CC-2012/11. Application Mobile PayPass 1.0 sur plateforme Orange NFC V2 G1 sur composant ST33F1ME PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 5 mars 2012 Le directeur général de l agence nationale

Plus en détail

Rapport de certification ANSSI-CC-PP-2010/07 du profil de protection «Java Card System Closed Configuration» (PP-JCS-Closed-v2.

Rapport de certification ANSSI-CC-PP-2010/07 du profil de protection «Java Card System Closed Configuration» (PP-JCS-Closed-v2. PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d'information Rapport de certification ANSSI-CC-PP-2010/07 du profil de protection

Plus en détail

Rapport de certification ANSSI-CC-2011/48. Logiciel FAST360, version 5.0/22

Rapport de certification ANSSI-CC-2011/48. Logiciel FAST360, version 5.0/22 PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2011/48 Logiciel FAST360, version

Plus en détail

Rapport de certification ANSSI-CC-2009/36. Carte à puce ID-One Cosmo V7.0-a en configuration Large Dual, Large et Standard Dual

Rapport de certification ANSSI-CC-2009/36. Carte à puce ID-One Cosmo V7.0-a en configuration Large Dual, Large et Standard Dual PREMIER MINISTRE Secrétariat général de la défense nationale Agence nationale de la sécurité des systèmes d information Carte à puce ID-One Cosmo V7.0-a en configuration Large Dual, Large et Standard Dual

Plus en détail

Rapport de certification PP/0308. Profil de protection «Cryptographic Module for CSP Signing Operations with Backup» Version 0.28

Rapport de certification PP/0308. Profil de protection «Cryptographic Module for CSP Signing Operations with Backup» Version 0.28 PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d'information Profil de protection «Cryptographic Module for CSP Signing Operations with Backup»

Plus en détail

Rapport de certification ANSSI-CC-2010/15. OmniPCX Enterprise Solution : logiciels OmniPCX Enterprise (release 9.0) et OmniVista 4760 (release 5.

Rapport de certification ANSSI-CC-2010/15. OmniPCX Enterprise Solution : logiciels OmniPCX Enterprise (release 9.0) et OmniVista 4760 (release 5. PREMIER MINISTRE Secrétariat général de la défense nationale Agence nationale de la sécurité des systèmes d information OmniPCX Enterprise Solution : logiciels OmniPCX Enterprise (release 9.0) et OmniVista

Plus en détail

Rapport de certification PP 2004/01. Profil de Protection pour services bancaires et/ou financiers sur Internet

Rapport de certification PP 2004/01. Profil de Protection pour services bancaires et/ou financiers sur Internet PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d'information Profil de Protection pour services bancaires et/ou financiers sur Internet Paris,

Plus en détail

Rapport de certification ANSSI-CC-2014/70. Suite logicielle IPS-Firewall, version 9.1.0.5

Rapport de certification ANSSI-CC-2014/70. Suite logicielle IPS-Firewall, version 9.1.0.5 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2014/70 Suite logicielle

Plus en détail

Rapport de certification 2007/05

Rapport de certification 2007/05 PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Rapport de certification 2007/05 Carte bancaire GemCB DDA : composant SLE66CX162PE

Plus en détail

Rapport de certification DCSSI-2009/07. MultiApp ID Citizen 72K (Generic configuration)

Rapport de certification DCSSI-2009/07. MultiApp ID Citizen 72K (Generic configuration) PREM IE R M IN IS T R E Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Rapport de certification DCSSI-2009/07 MultiApp ID Citizen 72K (Generic

Plus en détail

Évaluation et Certification Carlos MARTIN Responsable du Centre de Certification de la Sécurité des Technologies de l Information

Évaluation et Certification Carlos MARTIN Responsable du Centre de Certification de la Sécurité des Technologies de l Information Évaluation et Certification Carlos MARTIN Responsable du Centre de Certification de la Sécurité des Technologies de l Information Organisme de certification Comité directeur de la certification des T.I.

Plus en détail

Rapport de certification 2001/24

Rapport de certification 2001/24 PREMIER MINISTRE Secrétariat général de la Défense nationale Direction centrale de la sécurité des systèmes d information Schéma Français d Évaluation et de Certification de la Sécurité des Technologies

Plus en détail

Rapport de maintenance ANSSI-CC-2013/43-M01

Rapport de maintenance ANSSI-CC-2013/43-M01 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d'information Rapport de maintenance Microcontrôleurs sécurisés ST33F1MF,

Plus en détail

Rapport de certification ANSSI-CC-2014/18

Rapport de certification ANSSI-CC-2014/18 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2014/18 Microcontrôleur

Plus en détail

Rapport de certification ANSSI-CC-2013/65

Rapport de certification ANSSI-CC-2013/65 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2013/65 Application Mobile

Plus en détail

Rapport de certification ANSSI-CC-2014/94

Rapport de certification ANSSI-CC-2014/94 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2014/94 Microcontrôleur

Plus en détail

Rapport de certification 2002/08

Rapport de certification 2002/08 PREMIER MINISTRE Secrétariat général de la Défense nationale Direction centrale de la sécurité des systèmes d information Schéma Français d Évaluation et de Certification de la Sécurité des Technologies

Plus en détail

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3. PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur

Plus en détail

Rapport de certification ANSSI-CC-2014/96

Rapport de certification ANSSI-CC-2014/96 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2014/96 (S1133159, release

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation du Standard Protection Profile for Enterprise Security Management Access Control Version 2.0 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre

Plus en détail

Profil de Protection Application de chiffrement de données à la volée sur mémoire de masse

Profil de Protection Application de chiffrement de données à la volée sur mémoire de masse Direction centrale de la sécurité des systèmes d information Profil de Protection Application de chiffrement de données à la volée sur mémoire de masse Date d émission : Août 2008 Référence : Version :

Plus en détail

Rapport de certification PP/0002

Rapport de certification PP/0002 PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de

Plus en détail

Evaluation, Certification Axes de R&D en protection

Evaluation, Certification Axes de R&D en protection 2009 Evaluation, Certification Axes de R&D en protection Dr CEA/LETI Alain.merle@cea.fr 1 Evaluation, Certification, Axes de R&D en protection Evaluation / Certification Le Schéma Français de Certification

Plus en détail

Rapport de certification PP/0101

Rapport de certification PP/0101 PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de

Plus en détail

Profil de Protection Application de chiffrement de données à la volée sur mémoire de masse (PP-CDISK)

Profil de Protection Application de chiffrement de données à la volée sur mémoire de masse (PP-CDISK) Direction centrale de la sécurité des systèmes d information Profil de Protection Application de chiffrement de données à la volée sur mémoire de masse () Date de publication : Avril 2006 Référence : Version

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification NetIQ Secure Configuration Manager 5.9.1 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 + du produit Data Loss Prevention Version 11.1.1 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans

Plus en détail

Mise à jour de la Certification des critères communs (ISO15408)

Mise à jour de la Certification des critères communs (ISO15408) Mise à jour de la Certification des critères communs (ISO15408) Novembre 2012 Résumé Ce document est destiné à epliquer le but et les objectifs de la Certification des critères communs. Il couvre la direction

Plus en détail

PREMIER MINISTRE. Secrétariat général de la défense et de la sécurité nationale. Agence nationale de la sécurité des systèmes d'information

PREMIER MINISTRE. Secrétariat général de la défense et de la sécurité nationale. Agence nationale de la sécurité des systèmes d'information PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d'information ANSSI-CC-2007/02-M02 Carte IDOneClassIC : ID-One Cosmo 64 RSA v5.4.1

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2+ du produit Symantec Endpoint Protection Version 12.1.2 Préparé par : Centre de la sécurité des télécommunications Canada Organisme de certification Schéma canadien

Plus en détail

PROFIL DE PROTECTION RESSOURCE CRYPTOGRAPHIQUE POUR UNE INFRASTRUCTURE DE GESTION DE CLÉS

PROFIL DE PROTECTION RESSOURCE CRYPTOGRAPHIQUE POUR UNE INFRASTRUCTURE DE GESTION DE CLÉS Commission Interministérielle pour la Sécurité des Systèmes d Information PROFIL DE PROTECTION RESSOURCE CRYPTOGRAPHIQUE POUR UNE INFRASTRUCTURE DE GESTION DE CLÉS PP_RCIGC VERSION 2.6-01/03/2000 - Ce

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 + du système d exploitation Data Domain version 5.2.1.0 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification

Plus en détail

Schéma Français. de la Sécurité des Technologies de l Information

Schéma Français. de la Sécurité des Technologies de l Information Schéma Français de la Sécurité des Technologies de l Information Ce document constitue le rapport de certification du produit Composant ST19SF04 masqué par l application B4/B0 V3 (référence ST19SF04AB/RVK).

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification NetScout ngeniusone Unified Performance Management Platform V5.2.1 and ngenius InfiniStream V5.2.1 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 3 + du produit Symantec Risk Automation Suite 4.0.5 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification McAfee Enterprise Mobility Management 12.0 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre du Schéma canadien

Plus en détail

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2011/14 Fonctionnalités

Plus en détail

ATTESTATION D ACCREDITATION. N 1-1061 rév. 1

ATTESTATION D ACCREDITATION. N 1-1061 rév. 1 Section Laboratoires ATTESTATION D ACCREDITATION ACCREDITATION CERTIFICATE N 1-1061 rév. 1 Le Comité Français d'accréditation (Cofrac) atteste que : The French Committee for Accreditation (Cofrac) certifies

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2+ du logiciel McAfee Email Gateway (MEG) v7.0.1, tournant sur VMware Server Préparé par : le Centre de la sécurité des télécommunications Canada à titre d organisme

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 4 + du produit VMware ESX 4.0 Update 1 and vcenter Server 4.0 Update 1 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification NetApp Data ONTAP v8.1.1 7-Mode Préparé par : le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

Rapport de certification ANSSI-CSPN-2012/04. CRYPT2Protect Version 8.04-03i

Rapport de certification ANSSI-CSPN-2012/04. CRYPT2Protect Version 8.04-03i PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2012/04 CRYPT2Protect

Plus en détail

politique de la France en matière de cybersécurité

politique de la France en matière de cybersécurité dossier de presse politique de la France en matière de cybersécurité 20 février 2014 Contact presse +33 (0)1 71 75 84 04 communication@ssi.gouv.fr www.ssi.gouv.fr Sommaire L ANSSI L ANSSI en chiffres Le

Plus en détail

Cible de sécurité Critères Communs Niveau EAL4+ Méthode et Solution Informatique S.A.

Cible de sécurité Critères Communs Niveau EAL4+ Méthode et Solution Informatique S.A. Security BO Suite Cible de sécurité Critères Communs Niveau EAL4+ Security BO Crypto 6.0 Version 2.6 du 09/01/2004 Méthode et Solution Informatique S.A. 7, rue Jean Mermoz - 78000 Versailles - France www.securitybox.net

Plus en détail

P R E M I E R M I N I S T R E NOTE D APPLICATION. Signé : Patrick PAILLOUX

P R E M I E R M I N I S T R E NOTE D APPLICATION. Signé : Patrick PAILLOUX P R E M I E R M I N I S T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 09 juillet 2013 N 2360/ANSSI/SDE/PSS/CCN

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Memory Arrays avec Memory Gateways Version 5.5.2 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien

Plus en détail

Politique de Référencement Intersectorielle de Sécurité (PRIS)

Politique de Référencement Intersectorielle de Sécurité (PRIS) PREMIER MINISTRE ADAE PREMIER MINISTRE SGDN - DCSSI =========== Politique de Référencement Intersectorielle de Sécurité (PRIS) Service de confiance "Authentification" =========== VERSION 2.0 1.2.250.1.137.2.2.1.2.1.5

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification McAfee Management for Optimized Virtual Environments Antivirus version 3.0.0 with epolicy Orchestrator version 5.1.1 Préparé par Le Centre de la sécurité des télécommunications

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 + du produit EMC RecoverPoint version 3.4 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre

Plus en détail

Les concepts et définitions utilisés dans l enquête «Chaînes d activité mondiales»

Les concepts et définitions utilisés dans l enquête «Chaînes d activité mondiales» Les concepts et définitions utilisés dans l enquête «Chaînes d activité mondiales» Les chaînes d activité mondiales (CAM) Les chaînes d activité recouvrent la gamme complète des fonctions et des tâches

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 3 + du produit McAfee Application Control v5.0, Change Control v5.0, and Integrity Monitor v5.0 with McAfee Agent v4.5 and epolicy Orchestrator v4.5 Préparé par

Plus en détail

Quel est le temps de travail des enseignants?

Quel est le temps de travail des enseignants? Quel est le temps de travail des enseignants? Dans les établissements publics, les enseignants donnent, en moyenne et par an, 779 heures de cours dans l enseignement primaire, 701 heures de cours dans

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification BMC Real End User Experience Monitoring and Analytics 2.5 Préparé par le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma

Plus en détail

Rapport de certification ANSSI-CSPN-2010/07. KeePass Version 2.10 Portable

Rapport de certification ANSSI-CSPN-2010/07. KeePass Version 2.10 Portable PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2010/07 KeePass Version

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Commutateur de services photonique 1830 Photonic Service Switch (PSS) R7.0 Préparé par le Centre de la sécurité des télécommunications à titre d organisme de certification dans

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification with Premium Encryption Security v8.1 Préparé par : le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

VAIO en toute sérénité

VAIO en toute sérénité VAIO en toute sérénité Les garanties VAIO et leurs Extensions Modèles VAIO grand public Garantie standard 1 an* Extensions de Garantie Modèles VAIO Professionnels Garantie standard 2 ans* internationale

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2+ du produit McAfee Enterprise Mobility Management 9.7 Préparé par : Centre de la sécurité des télécommunications Canada Organisme de certification Schéma canadien

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation et de certification selon les critères

Plus en détail

Schéma canadien d évaluation et de certification selon les Critères communs (SCCC) Guide-SCCC-006 Version 1.1

Schéma canadien d évaluation et de certification selon les Critères communs (SCCC) Guide-SCCC-006 Version 1.1 6 Schéma canadien d évaluation et de certification selon les Critères communs (SCCC) Guide-SCCC-006 Version 1.1 Contrôle technique de la continuité de l assurance d une TOE certifiée Août 2005 ii Version

Plus en détail

Réguler le virtuel : Expérience des jeux en ligne

Réguler le virtuel : Expérience des jeux en ligne Réguler le virtuel : Expérience des jeux en ligne Stéphane Vaugelade Les propos de cette présentation n engagent que leur auteur Forum 2011 1 Sommaire Rappel historique Exigences du régulateur Cahier des

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Préparé par : le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation et de certification selon les Critères

Plus en détail

Protection des Données : CUSI, le 27 Mars 2013 Présenté par Patrick Régeasse

Protection des Données : CUSI, le 27 Mars 2013 Présenté par Patrick Régeasse Protection des Données : L archétype du projet paradoxal CUSI, le 27 Mars 2013 Présenté par Patrick Régeasse ToC - Agenda 1 Projet Paradoxal? 2 3 4 Les raisons d un capital risque élevé Les Facteurs Clefs

Plus en détail

PASSI Un label d exigence et de confiance?

PASSI Un label d exigence et de confiance? PASSI Un label d exigence et de confiance? INTRINSEC Site Intrinsec www.intrinsec.com Blog Intrinsec sécurité Securite.intrinsec.com Twitter Intrinsec @Intrinsec_Secu INTRINSEC Identité Fondée en 1995,

Plus en détail

Rapport de certification PP/9908

Rapport de certification PP/9908 PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de

Plus en détail

Version 3.0. Cible de Sécurité Critères Communs niveau EAL3+ Document v1 r9

Version 3.0. Cible de Sécurité Critères Communs niveau EAL3+ Document v1 r9 Version 3.0 Cible de Sécurité Critères Communs niveau EAL3+ Document v1 r9 Sommaire 1. INTRODUCTION DE LA CIBLE DE SECURITE... 5 1.1. Identification de la cible de sécurité... 5 1.2. Vue d'ensemble de

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 4 du système Check VPN- 1/FireWall-1 Next Generation Feature Pack 1 Préparée par : Le Centre de la sécurité des télécommunications à titre d organisme de certification

Plus en détail

Démarches de sécurité & certification : atouts, limitations et avenir

Démarches de sécurité & certification : atouts, limitations et avenir Démarches de sécurité & certification : atouts, limitations et avenir Christian Damour Orange Business Services Silicomp-AQL 1 rue de la Chataigneraie CS 51766, 35517 CESSON-SEVIGNE Cédex France Christian.damour@aql.fr

Plus en détail

Global Entertainment & Media Outlook 2009-2013

Global Entertainment & Media Outlook 2009-2013 Global Entertainment & Media Outlook 2009-2013 Perspectives de croissance de l industrie des Médias et des Loisirs 25 Juin 2009 01 François ANTARIEU, Associé PwC, Responsable France de l Industrie Médias

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2+ du produit Sonus Trunking Suite (GSX/NBS 9000, SGX 4000, PSX, DSI, EMS), Release v09.00 Préparé par : Centre de la sécurité des télécommunications Canada à titre

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Préparé par : le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation et de certification selon les critères

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 4+ du produit JUNOS-FIPS for SRX Series version 10.4R4 Préparé par : Centre de la sécurité des télécommunications Canada Organisme de certification Schéma canadien

Plus en détail

Sécurité des systèmes d'informations et communicants dans le médical

Sécurité des systèmes d'informations et communicants dans le médical Sécurité des systèmes d'informations et communicants dans le médical Dr Alain MERLE Responsable Programme Sécurité et Défense CEA-LETI Alain.merle@cea.fr Le Leti en quelques chiffres Institut du CEA, fondé

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2+ du produit de Préparé par : Le Centre de la sécurité des télécommunications, à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

Certification Schemes

Certification Schemes 2011 Hardware Security Components: Vulnerabilities, Evaluation and Certification Dr CEA/LETI Alain.merle@cea.fr 1 Certification Schemes n Driven by National Authorities In France: ANSSI n License laboratories

Plus en détail

Étude EcoVadis - Médiation Inter-Entreprises COMPARATIF DE LA PERFORMANCE RSE DES ENTREPRISES FRANCAISES AVEC CELLE DES PAYS DE L OCDE ET DES BRICS

Étude EcoVadis - Médiation Inter-Entreprises COMPARATIF DE LA PERFORMANCE RSE DES ENTREPRISES FRANCAISES AVEC CELLE DES PAYS DE L OCDE ET DES BRICS Étude EcoVadis - Médiation Inter-Entreprises COMPARATIF DE LA PERFORMANCE RSE DES ENTREPRISES FRANCAISES AVEC CELLE DES PAYS DE L OCDE ET DES BRICS 23 mars 2015 Synthèse Avec plus de 12.000 évaluations

Plus en détail

Club Utilisateurs 2 ème Réunion, 8 Octobre 2014 International RFID Congress, Marseille. Diffusion Restreinte

Club Utilisateurs 2 ème Réunion, 8 Octobre 2014 International RFID Congress, Marseille. Diffusion Restreinte Club Utilisateurs 2 ème Réunion, 8 Octobre 2014 International RFID Congress, Marseille 1 2 ème Réunion du Club Utilisateurs GINTAO AGENDA 9:00 Accueil 9:30 Présentation du projet GINTAO 10:00 Présentation

Plus en détail

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO) CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document

Plus en détail

Âge effectif de sortie du marché du travail

Âge effectif de sortie du marché du travail Extrait de : Panorama des pensions 2013 Les indicateurs de l'ocde et du G20 Accéder à cette publication : http://dx.doi.org/10.1787/pension_glance-2013-fr Âge effectif de sortie du marché du travail Merci

Plus en détail

Actifs des fonds de pension et des fonds de réserve publics

Actifs des fonds de pension et des fonds de réserve publics Extrait de : Panorama des pensions 2013 Les indicateurs de l'ocde et du G20 Accéder à cette publication : http://dx.doi.org/10.1787/pension_glance-2013-fr Actifs des fonds de pension et des fonds de réserve

Plus en détail

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est

Plus en détail

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions 5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les

Plus en détail

L Agence Nationale de la Sécurité des Systèmes d Information

L Agence Nationale de la Sécurité des Systèmes d Information L Agence Nationale de la Sécurité des Systèmes d Information Franck Veysset 01/12/2009 www.certa.ssi.gouv.fr Nouvelle stratégie française en matière de défense et de sécurité nationale Livre blanc sur

Plus en détail

SECURITE DES SYSTEMES D INFORMATION COURS 2 ème partie Sûreté ou sécurité? Sécurité : ensemble des éléments permettant d établir la confiance dans un système, un environnement, etc. (se sentir en sécurité)

Plus en détail

La sécurité des solutions de partage Quelles solutions pour quels usages?

La sécurité des solutions de partage Quelles solutions pour quels usages? La sécurité des solutions de partage Quelles solutions pour quels usages? Swiss IT Business 22/04/15 #ECOM15 #SITB15 #SMARC15 @OodriveOfficiel #oodrive LA SÉCURITÉ DES SOLUTIONS DE PARTAGE QUELLES SOLUTIONS

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification EMC NetWorker v8.0.1.4 Préparé par Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre du Schéma canadien d évaluation et de

Plus en détail

«De l authentification à la signature électronique : quel cadre juridique pour la confiance dans les communications électroniques internationales?

«De l authentification à la signature électronique : quel cadre juridique pour la confiance dans les communications électroniques internationales? C.N.U.D.C.I./U.N.C.I.T.R.A.L. Nations Unies - New York, 14 février 2011 «De l authentification à la signature électronique : quel cadre juridique pour la confiance dans les communications électroniques

Plus en détail