INTRODUCTION A LA CERTIFICATION DE LA SÉCURITÉ DES TECHNOLOGIES DE L INFORMATION. Natalya Robert 23 janvier UPMC

Dimension: px
Commencer à balayer dès la page:

Download "INTRODUCTION A LA CERTIFICATION DE LA SÉCURITÉ DES TECHNOLOGIES DE L INFORMATION. Natalya Robert 23 janvier 2015 - UPMC"

Transcription

1 INTRODUCTION A LA CERTIFICATION DE LA SÉCURITÉ DES TECHNOLOGIES DE L INFORMATION Natalya Robert 23 janvier UPMC

2 L ANSSI Qu est ce que c est? 2

3 L ANSSI Agence Nationale de la Sécurité des Systèmes d Informations Créée en 2009 par décret Rattachée au SGDSN Liée directement au PM Réservoir de compétences au profit de l état et des OIV* *Opérateur d Importance Vitale 3

4 L ANSSI Objectifs Doter la France de véritables capacités en SSI Stratégie, Livre Blanc, LPM* Être une puissance mondiale de Cyberdéfense Moyens Prévention Réglementation, labellisation, conseil, formation Défense Gestion d incident, réponses aux crises *Loi de Programmation Militaire 4

5 L ANSSI CCN 5

6 LA CERTIFICATION Décret Service public (impartial, gratuit) Schéma d évaluation et de certification Evaluation CC Microcircuit, cartes, logiciels Evaluation CSPN Pare-feu, communication sécurisée, contrôle d accès, stockage sécurisé Maintenance Continuité de l assurance après une modification non sécuritaire du produit Surveillance Tests de résistance d un produit après certification 6

7 LA CERTIFICATION Groupes de travail internationaux CCRA SOGIS Techniques Agréments des laboratoires Des contacts avec de nombreux industriels 7

8 LA CERTIFICATION Et aussi du domaine public 8

9 LA CERTIFICATION Quels produits? Vous en utilisez? 9

10 LA CERTIFICATION Quels produits? Vous en utilisez? 10

11 LA CERTIFICATION Qu est ce que c est? 11

12 LA CERTIFICATION Label délivré par le PM Critères Communs CSPN Assurance Cible d évaluation Qu est ce que c est? Conformité Cible de sécurité Reconnaissance Profil de protection Standards Analyse de vulnérabilité Travaux d évaluation Qualification Agrément CESTI 12

13 LA CERTIFICATION Un peu d histoire 13

14 LA CERTIFICATION Un peu d histoire des CC 1983 USA Orange Book TCSEC* 1990 FR UK NL GE ITSEC** 1993 CANADA CTCPEC*** 1995 US, Europe, Canada Common Criteria 2012 CC, version 3.1 révision 4 *TCSEC Trusted Computer System Evaluation Criteria **ITSEC Information Technology Security Evaluation Criteria ***CTCPEC Canadian Trusted Computer Product Evaluation Criteria 14

15 LA CERTIFICATION Deux objectifs Développer des critères d évaluation harmonisés entre les nations Assurer la reconnaissance des certificats entre les nations 15

16 RECONNAISSANCE INTERNATIONALE DES RÉSULTATS D ÉVALUATION Accord Européen SOGIS Ouvert aux pays de l UE et de l AELE* 1998 création 2010 dernière mise à jour Reconnaissance des certificats CC Jusqu à EAL 7** (niveau d éval. max.) Cartes à puces Security Boxes EAL4 (niveau moyen) *Accord Européen de Libre Echange **Evaluation Assurance Level, voir à partir de slide 54 16

17 RECONNAISSANCE INTERNATIONALE DES RÉSULTATS D ÉVALUATION Accord Européen SOGIS Ouvert aux pays de l UE et de l AELE* 1998 création 2010 dernière mise à jour Reconnaissance des certificats CC Jusqu à EAL 7** (niveau d éval. max.) Cartes à puces Security Boxes EAL4 (niveau moyen) 5 pays qualifiés pour la carte à puce France, Allemagne, Angleterre, Hollande, Espagne *Accord Européen de Libre Echange **Evaluation Assurance Level, voir à partir de slide 54 17

18 RECONNAISSANCE INTERNATIONALE DES RÉSULTATS D ÉVALUATION Accord Mondial CCRA ouvert à tous les pays 2000 création 2014 dernière maj Reconnaissance des certificats CC Jusqu à EAL 2 (niveau bas) 26 pays

19 RECONNAISSANCE INTERNATIONALE DES RÉSULTATS D ÉVALUATION Accord Mondial CCRA ouvert à tous les pays 2000 création 2014 dernière maj Reconnaissance des certificats CC Jusqu à EAL 2 (niveau bas) 26 pays 17 pays «émetteurs» Australie, Canada, France Allemagne, Inde, Italie, Japon, Malaisie, Hollande, Nouvelle-Zélande, Norvège, Corée, Espagne, Suède, Turquie, Angleterre, Etats-Unis

20 RECONNAISSANCE INTERNATIONALE DES RÉSULTATS D ÉVALUATION Accord Mondial CCRA ouvert à tous les pays 2000 création 2014 dernière maj Reconnaissance des certificats CC Jusqu à EAL 2 (niveau bas) 26 pays 17 pays «émetteurs» Australie, Canada, France Allemagne, Inde, Italie, Japon, Malaisie, Hollande, Nouvelle-zélande, Norvège, Corée, Espagne Suède, Turquie, Angleterre, Etats-Unis 9 pays «consommateurs» Autriche, République Tchèque, Danemark, Finlande, Grèce, Hongrie, Israël, Pakistan, Singapour

21 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 21

22 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 22

23 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 23

24 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 24

25 LES CRITÈRES COMMUNS Quelques notions indispensables! TOE ST PP 25

26 LES CRITÈRES COMMUNS Quelques notions indispensables! TOE Target Of Evaluation - Cible d évaluation 26

27 LES CRITÈRES COMMUNS Quelques notions indispensables! TOE Target Of Evaluation - Cible d évaluation Partie du produit soumise à évaluation 27

28 LES CRITÈRES COMMUNS Quelques notions indispensables! TOE Target Of Evaluation - Cible d évaluation Partie du produit soumise à évaluation Produit 28

29 LES CRITÈRES COMMUNS Quelques notions indispensables! TOE Target Of Evaluation - Cible d évaluation Partie du produit soumise à évaluation Produit TOE 29

30 LES CRITÈRES COMMUNS Quelques notions indispensables! TOE Target Of Evaluation - Cible d évaluation Partie du produit soumise à évaluation Produit Tests de vulnérabilités TOE Tests de conformité 30

31 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Security Target - Cible de sécurité Spécification du besoin de sécurité Définition de ce qui est et ce qui n est pas évalué (cahier des charges) 31

32 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Security Target - Cible de sécurité Biens, menaces, objectifs de sécurité (sur la TOE et l environnement), hypothèses (restrictions d usage) Identification du produit (unique) Cible d évaluation (TOE) Fonctions de sécurité évaluées Cycle de vie Niveau d évaluation EAL Document initial pour lancer une certification Vérification par CCN (non trompeuse, cohérente, charges ) Peut évoluer au cours de l évaluation o o Des vulnérabilités identifiées en évaluation peuvent être couvertes par des hypothèses De nouvelles fonctions de sécurité peuvent être ajoutées 32

33 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Menaces supposées Cible de sécurité 33

34 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Données stockées dans la TOE Données échangées avec le terminal Données de traçabilité Clefs cryptographiques Menaces supposées Cible de sécurité 34

35 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Menaces supposées Cible de sécurité 35

36 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Toute personne ou processus voulant nuire à la sécurité de la TOE définie dans la ST Détenteur du passeport Manipulateur du passeport Menaces supposées Cible de sécurité 36

37 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Menaces supposées Cible de sécurité 37

38 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Imitation du système d inspection Ecoute des communications Modification des données ou des fonctions de sécurité Effacement des données Fuite d information Menaces supposées Clonage du passeport Cible de sécurité 38

39 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Données stockées dans la TOE Personne possédant un ou plusieurs documents «légitimes» Clonage du passeport Cible de sécurité Menaces supposées 39

40 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Menaces supposées Cible de sécurité Objectifs de sécurité sur la TOE Objectifs de sécurité sur l environnement de la TOE 40

41 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Menaces supposées Cible de sécurité Objectifs de sécurité sur la TOE 41

42 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Cible de sécurité Menaces supposées La TOE doit assurer l intégrité des données de l utilisateur stockées dans le passeport et échangées pendant les communications avec le terminal La TOE doit assurer l authenticité des données de l utilisateur échangées avec le terminal La TOE doit assurer la confidentialité des données de l utilisateur La TOE doit empêcher la récolte des données de traçabilités Objectifs de sécurité sur la TOE La TOE doit être protégée contre la fuite d information, falsification, le dysfonctionnement 42

43 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Menaces supposées Cible de sécurité Objectifs de sécurité sur la TOE Objectifs de sécurité sur l environnement de la TOE 43

44 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité L émetteur du passeport doit le délivrer et accepter l usage du terminal conformément aux lois et régulations en vigueur L émetteur du passeport doit s assurer que les agents de personnalisation inscrivent les bonnes données (identité, biométrie ) Cible de sécurité Menaces supposées Le terminal doit respecter certaines règles (crypto, protocoles, confidentialité ) Le pays émetteur doit respecter certaines règles (infrastructures de clefs publiques, examen du passeport du voyageur pour vérifier son authenticité ) Objectifs de sécurité sur la TOE Objectifs de sécurité sur l environnement de la TOE 44

45 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Menaces supposées Hypothèses Cible de sécurité Objectifs de sécurité sur le produit Objectifs de sécurité sur l environnement du produit 45

46 LES CRITÈRES COMMUNS Quelques notions indispensables! ST Exemple du passeport Analyse de risques Biens à protéger Attaquant Vulnérabilité Le pays émetteur ou «receveur» établit une infrastructure de clefs publiques pour l authentification Cible de sécurité Menaces supposées Le pays émetteur gère une CA qui, de manière sécurisé, génère, stocke et utilise une paire de clefs de signature du pays Hypothèses Objectifs de sécurité sur le produit Objectifs de sécurité sur l environnement du produit 46

47 LES CRITÈRES COMMUNS Quelques notions indispensables! PP Protection Profile Profil de protection Cible générique pour un type de produit défini et pour un usage donné Contient déjà la trame (biens, menaces, objectifs ) Défini déjà le besoin de sécurité Rédaction par un ensemble de commanditaires ou d acteurs d un type de produit (PP passeport, PP SSCD, PP tachographe, PP JavaCard ) Intérêt: permet de s assurer qu un produit est conforme à un besoin de sécurité déterminé (pas de modification de la TOE en cours d évaluation pour échapper à des vulnérabilités) 47

48 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 48

49 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 49

50 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 50

51 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 51

52 C est quoi les CC? Ensemble de règles auquel un produit peut se conformer Plusieurs niveaux: «EAL» (1->7) Niveau de conformité ADV, AGD, ALC, ASE, ATE Niveau de résistance aux attaques AVA_VAN 52

53 EAL Classe ADV: Développement AGD: Guides d utilisation ALC: Support au cycle de vie ASE: Evaluation de la cible de sécurité ATE Tests Famille Intitulé du composant ADV_ARC Security Architecture Description ADV_FSP Functional specification ADV_IMP Implementation ADV_INT Internals structure ADV_SPM 1 1 Security policy model ADV_TDS TOE Design AGD_OPE Operational user guidance AGD_PRE Preparative procedures ALC_CMC Configuration management capabilities ALC_CMS Configuration management scope ADO_DEL Delivery ALC_DVS Development security ALC_FLR Flaw remediation ALC_LCD Life Cycle definition ALC_TAT Tools and technique ASE_CCL Conformance claims ASE_ECD Extended components definition ASE_INT ST introduction ASE_OBJ Security objectives ASE_REQ Security requirements ASE_SPD Security Problem definition ASE_TSS TOE summary specification ATE_COV Analysis of coverage ATE_DPT Depth ATE_FUN Functional testing ATE_IND Independent testing AVA Estimation des vulnérabilités AVA_VAN Vulnerabilty Analysis 53

54 EAL Classe ADV: Développement AGD: Guides d utilisation ALC: Support au cycle de vie ASE: Evaluation de la cible de sécurité ATE Tests Famille Intitulé du composant ADV_ARC Security Architecture Description ADV_FSP Functional specification ADV_IMP Implementation ADV_INT Internals structure ADV_SPM 1 1 Security policy model ADV_TDS TOE Design AGD_OPE Operational user guidance AGD_PRE Preparative procedures ALC_CMC Configuration management capabilities ALC_CMS Configuration management scope ADO_DEL Delivery ALC_DVS Development security ALC_FLR Flaw remediation ALC_LCD Life Cycle definition ALC_TAT Tools and technique ASE_CCL Conformance claims ASE_ECD Extended components definition ASE_INT ST introduction ASE_OBJ Security objectives ASE_REQ Security requirements ASE_SPD Security Problem definition ASE_TSS TOE summary specification ATE_COV Analysis of coverage ATE_DPT Depth ATE_FUN Functional testing ATE_IND Independent testing AVA Estimation des vulnérabilités AVA_VAN Vulnerabilty Analysis 54

55 Exemple* (conformité) ASE_CCL.1 «The conformance claim shall contain a CC conformance claim that identifies the version of the CC to which the ST claim conformance» *CC Part3, version 3.1 R4 55

56 «The conformance claim shall contain a CC conformance claim that identifies the version of the CC to which the ST Claim Conformance» 56

57 «The conformance claim shall contain a CC conformance claim that identifies the version of the CC to which the ST Claim Conformance» 57

58 «The conformance claim shall contain a CC conformance claim that identifies the version of the CC to which the ST Claim Conformance» 58

59 «The conformance claim shall contain a CC conformance claim that identifies the version of the CC to which the ST Claim Conformance» «The conformance claim shall describe any conformance of the ST to a package as either package-conformant or package-augmented» 59

60 «The conformance claim shall contain a CC conformance claim that identifies the version of the CC to which the ST Claim Conformance» «The conformance claim shall describe any conformance of the ST to a package as either package-conformant or package-augmented» 60

61 EAL Classea ADV: Développement AGD: Guides d utilisation ALC: Support au cycle de vie ASE: Evaluation de la cible de sécurité ATE Tests Famille Intitulé du composant ADV_ARC Security Architecture Description ADV_FSP Functional specification ADV_IMP Implementation ADV_INT Internals structure ADV_SPM 1 1 Security policy model ADV_TDS TOE Design AGD_OPE Operational user guidance AGD_PRE Preparative procedures ALC_CMC Configuration management capabilities ALC_CMS Configuration management scope ADO_DEL Delivery ALC_DVS Development security ALC_FLR Flaw remediation ALC_LCD Life Cycle definition ALC_TAT Tools and technique ASE_CCL Conformance claims ASE_ECD Extended components definition ASE_INT ST introduction ASE_OBJ Security objectives ASE_REQ Security requirements ASE_SPD Security Problem definition ASE_TSS TOE summary specification ATE_COV Analysis of coverage ATE_DPT Depth ATE_FUN Functional testing ATE_IND Independent testing AVA Estimation des vulnérabilités AVA_VAN Vulnerabilty Analysis 61

62 EAL Classea ADV: Développement AGD: Guides d utilisation ALC: Support au cycle de vie ASE: Evaluation de la cible de sécurité ATE Tests Famille Intitulé du composant ADV_ARC Security Architecture Description ADV_FSP Functional specification ADV_IMP Implementation ADV_INT Internals structure ADV_SPM 1 1 Security policy model ADV_TDS TOE Design AGD_OPE Operational user guidance AGD_PRE Preparative procedures ALC_CMC Configuration management capabilities ALC_CMS Configuration management scope ADO_DEL Delivery ALC_DVS Development security ALC_FLR Flaw remediation ALC_LCD Life Cycle definition ALC_TAT Tools and technique ASE_CCL Conformance claims ASE_ECD Extended components definition ASE_INT ST introduction ASE_OBJ Security objectives ASE_REQ Security requirements ASE_SPD Security Problem definition ASE_TSS TOE summary specification ATE_COV Analysis of coverage ATE_DPT Depth ATE_FUN Functional testing ATE_IND Independent testing AVA Estimation des vulnérabilités AVA_VAN Vulnerabilty Analysis 62

63 Analyse de vulnérabilité AVA_SOF AVA_VLA ACM_AUT ACM_CAP ACM_SCP Environnement AVA_MSU ALC_DVS AVA_CCA ALC_LCD Test fonctionnels ATE_IND ATE_FUN ALC_TAT ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 1 ADV_INT ADV_IMP AGD_USR ADV_FSP Documentation ADV_SPM Conception ADV_LLD ADV_HLD Valable pour une ancienne version des Critères Communs 63

64 Analyse de vulnérabilité AVA_SOF AVA_VLA ACM_AUT ACM_CAP ACM_SCP Environnement AVA_MSU ALC_DVS AVA_CCA ALC_LCD ATE_IND ALC_TAT Test fonctionnels ATE_FUN ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 2 ADV_INT ADV_IMP ADV_SPM Conception ADV_FSP ADV_HLD ADV_LLD AGD_USR Documentation Valable pour une ancienne version des Critères Communs 64

65 Analyse de vulnérabilité AVA_VLA ACM_AUT ACM_CAP Environnement AVA_SOF ACM_SCP AVA_MSU ALC_DVS AVA_CCA ALC_LCD ATE_IND ALC_TAT Test fonctionnels ATE_FUN ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 3 ADV_INT ADV_IMP ADV_SPM Conception AGD_USR Documentation ADV_FSP ADV_HLD ADV_LLD Valable pour une ancienne version des Critères Communs 65

66 Analyse de vulnérabilité AVA_VLA ACM_AUT ACM_CAP Environnement AVA_SOF ACM_SCP AVA_MSU ALC_DVS AVA_CCA ALC_LCD Test fonctionnels ATE_IND ALC_TAT ATE_FUN ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 4 ADV_INT ADV_IMP ADV_SPM Conception AGD_USR ADV_FSP ADV_HLD ADV_LLD Documentation Valable pour une ancienne version des Critères Communs 66

67 Analyse de vulnérabilité AVA_VLA ACM_AUT ACM_CAP Environnement AVA_SOF ACM_SCP AVA_MSU ALC_DVS AVA_CCA ALC_LCD Test fonctionnels ATE_IND ATE_FUN ALC_TAT ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 5 ADV_INT ADV_IMP ADV_SPM Conception AGD_USR Documentation ADV_FSP ADV_HLD ADV_LLD Valable pour une ancienne version des Critères Communs 67

68 Analyse de vulnérabilité AVA_VLA ACM_AUT ACM_CAP Environnement AVA_SOF ACM_SCP AVA_MSU ALC_DVS AVA_CCA ALC_LCD ATE_IND ALC_TAT Test fonctionnels ATE_FUN ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 6 ADV_INT ADV_IMP ADV_SPM ADV_LLD ADV_FSP ADV_HLD AGD_USR Documentation Conception Valable pour une ancienne version des Critères Communs 68

69 Analyse de vulnérabilité AVA_VLA ACM_AUT ACM_CAP Environnement AVA_SOF ACM_SCP AVA_MSU ALC_DVS AVA_CCA ALC_LCD Test fonctionnels ATE_IND ALC_TAT ATE_FUN ADO_DEL ATE_DPT ADO_IGS ADV_RCR AGD_ADM EAL 7 ADV_INT ADV_IMP ADV_SPM Conception AGD_USR ADV_FSP ADV_HLD ADV_LLD Documentation Valable pour une ancienne version des Critères Communs 69

70 Niveau des certification de produit en général Microcircuits EAL5-6, AVA_VAN.5 Cartes à puce EAL4-5, AVA_VAN.5 Logiciels EAL3, AVA_VAN.3 70

71 Le niveau AVA_VAN Dans les critères*: succinct mais objectif! *CC, Part3, V3, R4 71

72 Le niveau AVA_VAN Dans les critères: succinct mais objectif! The developer shall provide the TOE for testing 72

73 Le niveau AVA_VAN Dans les critères: succinct mais objectif! The developer shall provide the TOE for testing The TOE shall be suitable for testing 73

74 Le niveau AVA_VAN Dans les critères: succinct mais objectif! The developer shall provide the TOE for testing The TOE shall be suitable for testing The evaluator shall perform a search of public domain sources to identify potential vulnerabilities in the TOE 74

75 Le niveau AVA_VAN Dans les critères: succinct mais objectif! The developer shall provide the TOE for testing The TOE shall be suitable for testing The evaluator shall perform a search of public domain sources to identify potential vulnerabilities in the TOE The evaluator shall perform an independent, methodical vulnerability analysis of the TOE using the guidance documentation, functional specification, TOE design, security architecture description and implementation representation to identify potential vulnerabilities in the TOE 75

76 Le niveau AVA_VAN Dans les critères: succinct mais objectif! The developer shall provide the TOE for testing The TOE shall be suitable for testing The evaluator shall perform a search of public domain sources to identify potential vulnerabilities in the TOE The evaluator shall perform an independent, methodical vulnerability analysis of the TOE using the guidance documentation, functional specification, TOE design, security architecture description and implementation representation to identify potential vulnerabilities in the TOE The evaluator shall conduct penetration testing based on the identified potential vulnerabilities to determine that the TOE is resistant to attacks performed by an attacker possessing Basic / Enhanced-Basic / Moderate / High attack potential 76

77 Le niveau AVA_VAN Dans les critères*: succinct mais objectif! The developer shall provide the TOE for testing The TOE shall be suitable for testing The evaluator shall perform a search of public domain sources to identify potential vulnerabilities in the TOE The evaluator shall perform an independent, methodical vulnerability analysis of the TOE using the guidance documentation, functional specification, TOE design, security architecture description and implementation representation to identify potential vulnerabilities in the TOE The evaluator shall conduct penetration testing based on the identified potential vulnerabilities to determine that the TOE is resistant to attacks performed by an attacker possessing Basic / Enhanced-Basic / Moderate / High attack potential AVA_VAN.3 AVA_VAN.4 AVA_VAN.5 AVA_VAN.1 AVA_VAN.2 77

78 Le niveau AVA_VAN pour les Cartes à puce Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? 78

79 Le niveau AVA_VAN pour les Cartes à puces Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? Table de cotation* *Application of Attack Potential to Smartcards, v2.9 CCDB

80 Le niveau AVA_VAN pour les Cartes à puces Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? Table de cotation AVA_VAN

81 Le niveau AVA_VAN pour les Cartes à puces Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? Table de cotation AVA_VAN.1-2 AVA_VAN.3 81

82 Le niveau AVA_VAN pour les Cartes à puces Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? Table de cotation AVA_VAN.3 AVA_VAN.1-2 AVA_VAN.4 82

83 Le niveau AVA_VAN pour les Cartes à puces Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? Table de cotation AVA_VAN.1-2 AVA_VAN.3 AVA_VAN.4 AVA_VAN.5 83

84 Le niveau AVA_VAN pour les Cartes à puces Comment définir le potentiel d attaque (Basic enhanced-basic, moderate et High)? Table de cotation AVA_VAN.1-2 AVA_VAN.3 AVA_VAN.4 AVA_VAN.5 84

85 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 85

86 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères* *Application of Attack Potential to Smartcards, v2.9 CCDB

87 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 87

88 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 2. Niveau d expertise 88

89 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 2. Niveau d expertise 3. Connaissance du produit 89

90 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 2. Niveau d expertise 3. Connaissance du produit 4. Accessibilité au produit 90

91 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 2. Niveau d expertise 3. Connaissance du produit 4. Accessibilité au produit 5. Equipement nécessaire 91

92 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 2. Niveau d expertise 3. Connaissance du produit 4. Accessibilité au produit 5. Equipement nécessaire A chaque critère une table de cotation 92

93 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 1. Temps passé 93

94 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 2. Niveau d expertise Layman: pas d expertise particulière Proficient: connaissance d attaques classiques et concepts de sécurité Expert: connaissances des algorithmes, protocoles, structures HW, principes et concepts de sécurité techniques et outils pour définir de nouvelles attaques Multiple Expert: niveau «expert» sur différents niveaux d attaque (par exemple manipulation HW et crypto) 94

95 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 3. Connaissance du produit Public: information dans le domaine publique Restricted: information utilisé lors du développement de la puce (spécifications, guides, documents de préparation ) Sensitive: information HLD et LLD Critical: implémentation (design et code source) Very critical: informations et outils spécifiques et propre au produit 95

96 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 4. Accessibilité au produit 96

97 Le niveau AVA_VAN pour les Cartes à puces Comment coter une attaque? 5 critères: 5. Equipement nécessaire Standard: oscilloscope de base, lecteur de carte, PC, logiciel d analyse ou de génération de signal Specialized: oscilloscope haut de gamme, microscope UV, equipement lazer, micro sonde, outils de gravure chimique Bespoke: FIB (Focused Ion Beam), SEM (Scanning electron mircroscope), AFM (Atomic Force Microscope) Multiple Bespoke: équipements «bespoke» sur différents niveaux de l attaque 97

98 98

99 TOTAL 99

100 Exemple Pour une DPA? Layman: pas d expertise particulière Proficient: connaissance d attaques classiques et concepts de sécurité Expert: connaissances des algorithmes, protocoles, structures HW, principes et concepts de sécurité techniques et outils pour définir de nouvelles attaques Multiple Expert: niveau «expert» sur différents niveaux d attaque (par exemple manipulation HW et crypto) Standard: oscilloscope de base, lecteur de carte, PC Specialized: oscilloscope haut de gamme, microscope UV Bespoke: FIB (Focused Ion Beam), AFM (Atomic Force Microscope) Multiple Bespoke: équipements «bespoke» sur différents niveaux de l attaque 100

101 Exemple Pour une DPA? Layman: pas d expertise particulière Proficient: connaissance d attaques classiques et concepts de sécurité Expert: connaissances des algorithmes, protocoles, structures HW, principes et concepts de sécurité techniques et outils pour définir de nouvelles attaques Multiple Expert: niveau «expert» sur différents niveaux d attaque (par exemple manipulation HW et crypto) Standard: oscilloscope de base, lecteur de carte, PC Specialized: oscilloscope haut de gamme, microscope UV Bespoke: FIB (Focused Ion Beam), AFM (Atomic Force Microscope) Multiple Bespoke: équipements «bespoke» sur différents niveaux de l attaque 101

102 Exemple Pour une DPA? Layman: pas d expertise particulière Proficient: connaissance d attaques classiques et concepts de sécurité Expert: connaissances des algorithmes, protocoles, structures HW, principes et concepts de sécurité techniques et outils pour définir de nouvelles attaques Multiple Expert: niveau «expert» sur différents niveaux d attaque (par exemple manipulation HW et crypto) Standard: oscilloscope de base, lecteur de carte, PC Specialized: oscilloscope haut de gamme, microscope UV Bespoke: FIB (Focused Ion Beam), AFM (Atomic Force Microscope) Multiple Bespoke: équipements «bespoke» sur différents niveaux de l attaque 102

103 Exemple Pour une DPA? Layman: pas d expertise particulière Proficient: connaissance d attaques classiques et concepts de sécurité Expert: connaissances des algorithmes, protocoles, structures HW, principes et concepts de sécurité techniques et outils pour définir de nouvelles attaques Multiple Expert: niveau «expert» sur différents niveaux d attaque (par exemple manipulation HW et crypto) Standard: oscilloscope de base, lecteur de carte, PC Specialized: oscilloscope haut de gamme, microscope UV Bespoke: FIB (Focused Ion Beam), AFM (Atomic Force Microscope) Multiple Bespoke: équipements «bespoke» sur différents niveaux de l attaque 103

104 Exemple Pour une DPA? Layman: pas d expertise particulière Proficient: connaissance d attaques classiques et concepts de sécurité Expert: connaissances des algorithmes, protocoles, structures HW, principes et concepts de sécurité techniques et outils pour définir de nouvelles attaques Multiple Expert: niveau «expert» sur différents niveaux d attaque (par exemple manipulation HW et crypto) Standard: oscilloscope de base, lecteur de carte, PC Specialized: oscilloscope haut de gamme, microscope UV Bespoke: FIB (Focused Ion Beam), AFM (Atomic Force Microscope) Multiple Bespoke: équipements «bespoke» sur différents niveaux de l attaque 104

105 Exemple Pour une DPA? Layman: pas d expertise particulière Proficient: connaissance d attaques classiques et concepts de sécurité Expert: connaissances des algorithmes, protocoles, structures HW, principes et concepts de sécurité techniques et outils pour définir de nouvelles attaques Multiple Expert: niveau «expert» sur différents niveaux d attaque (par exemple manipulation HW et crypto) Standard: oscilloscope de base, lecteur de carte, PC Specialized: oscilloscope haut de gamme, microscope UV Bespoke: FIB (Focused Ion Beam), AFM (Atomic Force Microscope) Multiple Bespoke: équipements «bespoke» sur différents niveaux de l attaque 105

106 Exemple Pour une DPA? TOTAL = 15 points! 106

107 Le niveau AVA_VAN pour les Cartes à puces Analyse de vulnérabilité Vulnérabilité potentielle Réalisation de l attaque dans l environnement d exploitation prévue L attaque échoue Vulnérabilité non exploitable L attaque réussie Cotation > niveau visé < niveau visé Vulnérabilité résiduelle Vulnérabilité exploitable 107

108 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 108

109 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 109

110 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 110

111 LA CERTIFICATION Exemples certificats CC 111

112 LA CERTIFICATION Et la CSPN? 2006 Création 2008 Début de l expérimentation 2011 Officialisation 112

113 Et pourquoi? Les évaluations CC coûtent cher et sont souvent longues (parfois 1 an ou 2, phénomène essentiellement lié à la maturité des développeurs et du produit) L évaluation CC est un processus mal adapté aux produits à faible retour sur investissement En 2008, mise en place d un processus d évaluation en charges et temps contraints 113

114 CSPN Qu est qu une CSPN? 114

115 CSPN Qu est qu une CSPN? Méthodologie publique française Expertise technique avec des méthodes d évaluation spécifique Différents domaines Anti-virus Pare-feu Contrôle d accès Stockage sécurisé Set Top Box Matériel, logiciel embarqué 115

116 CSPN Qu est qu une CSPN? Charges contraintes de 25h.j. + 10h.j. si crypto Si cryptographie analyse obligatoire Boîte noire Niveau unique Pas de correction possible du produit Processus mis en place en 2008 Beaucoup d échecs! 116

117 CSPN CC EAL 1 à 7 Boîte grise-blanche Accords de reconnaissance des certificats Pas de contraintes de temps Mise à jour du produit possible durant l évaluation Connaissance des CC par le développeur pour fournir des documents conformes Coût relativement élevé (60 à 200K ) CSPN Niveau unique Boîte noire Aucun accord : reconnaissance francofrançaise Temps imposé: 25 h.j (+10 si crypto), adaptation si cas particulier Version du produit figée Aucune connaissance spécifique nécessaire pour le développeur Coût relativement faible (25 à 35K ) 117

118 LA CERTIFICATION Exemples certificats CSPN 118

119 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 119

120 LA CERTIFICATION Par qui sont fait ces tests et analyses? 120

121 LA CERTIFICATION Par qui sont fait ces tests et analyses? CESTI Centre d Évaluation de la Sécurité des Technologies de l Information 121

122 LA CERTIFICATION Par qui sont fait ces tests et analyses? CESTI Centre d Évaluation de la Sécurité des Technologies de l Information Laboratoires agrées par l ANSSI Compétence Expertise dans certains domaines Pour les CC, reconnu à l international (SOGIS) Seuls à pouvoir mener une évaluation CC et CSPN et à pouvoir soumettre ses résultats d évaluation à l ANSSI 9 laboratoires : 3 CC/CSPN matériel 3 CC/CSPN logiciel 3 uniquement CSPN logiciel 122

123 LA CERTIFICATION Comment sont validés les résultats des CESTI? 123

124 LA CERTIFICATION Comment sont validés les résultats des CESTI? RTE Rapport technique d évaluation 124

125 LA CERTIFICATION Comment sont validés les résultats des CESTI? RTE Rapport technique d évaluation Soumis à l ANSSI en fin d évaluation Résultats d évaluation Niveau conformité ADV, AGD, ALC, ASE, ATE Niveau technique AVA Verdict final (le produit est-il bien résistant au niveau visé?) Confidentiel! Validé (ou pas) par le CCN avec l aide d experts techniques internes suivants les domaines Si validation, donne lieu à un certificat et un rapport de certification 125

126 LA CERTIFICATION Exemples certificats CC ou CSPN 126

127 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 127

128 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 128

129 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 129

130 LA CERTIFICATION Un peu de vocabulaire. CCN Centre de Certification National SOGIS Senior Officials Group Information Systems Security CCRA Common Criteria Recognition Arrangement TOE Target Of Evaluation (Cible d évaluation) ST Security Target (Cible de sécurité) PP Profil de Protection EAL Evaluation Assurance Level CC Critères Communs CSPN Certification de Sécurité de Premier Niveau CESTI Centre d Évaluation de la Sécurité des Technologies de l Information RTE Rapport Technique d Évaluation 130

131 LES MOTIVATIONS Approche sécuritaire Approche marketing Approche réglementaire 131

132 LES MOTIVATIONS Approche sécuritaire Se convaincre que la solution utilisée est sûre En visant un haut niveau de confiance En ne publiant pas forcément les certificats Et en faisant parfois réaliser des expertises complémentaires En centrant l évaluation sur l analyse de vulnérabilités Donneurs d ordre : banques, opérateurs de télécommunications, défense 132

133 LES MOTIVATIONS Approche marketing Syndrome du contrôle technique automobile: Peu importe ce que l on évalue, qui fait l évaluation, où elle se déroule: l important est d avoir le certificat Le prix est prépondérant Les CC ont mis un peu d ordre dans la définition des TOE Généralement conduite par les développeurs (exemples: éditeurs de produits de sécurité) 133

134 LES MOTIVATIONS Approche réglementaire Tout est imposé (la cible de sécurité ou le PP, le niveau visé, etc.) En fort développement aujourd hui Exemples: CEE pour chronotachygraphe, BdF pour porte-monnaie électronique, CEE pour signature électronique, labellisation pour les administrations 134

135 En France: 646 produits certifiés Critères Communs depuis 1995! Statistiques ANSSI-CCN Novembre

136 Parmi les leaders dans le monde! Statistiques CCRA Novembre

137 CSPN: depuis 2009* 96 évaluations, 40 certificats PP: 51* en évaluation *Statistiques ANSSI-CCN Novembre

138 Evolution des certifications CC en France PP 8 96 Produits Statistiques ANSSI-CCN Janvier

139 Evolution des certifications CSPN en France Statistiques ANSSI-CCN Novembre

du profil de protection «Trusted Execution Environment» (référence GPD_SPE_021, version 1.2)

du profil de protection «Trusted Execution Environment» (référence GPD_SPE_021, version 1.2) PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d'information Rapport de certification ANSSI-CC-PP-2014/01 du profil de

Plus en détail

Rapport de certification ANSSI-CC-2014/36. ZonePoint version 3.0, build 330

Rapport de certification ANSSI-CC-2014/36. ZonePoint version 3.0, build 330 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2014/36 ZonePoint version

Plus en détail

Rapport de certification ANSSI-CC-2012/12. Dispositif de placement sous surveillance électronique

Rapport de certification ANSSI-CC-2012/12. Dispositif de placement sous surveillance électronique PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Dispositif de placement sous surveillance électronique Paris, le

Plus en détail

Rapport de certification ANSSI-CC-2012/26. AdSigner v5.0.0.1

Rapport de certification ANSSI-CC-2012/26. AdSigner v5.0.0.1 PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 4 juin 2012 Le directeur général de l agence nationale

Plus en détail

Rapport de certification ANSSI-CC-2014/91. Logiciel Mistral IP version 2.0.84

Rapport de certification ANSSI-CC-2014/91. Logiciel Mistral IP version 2.0.84 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2014/91 Logiciel Mistral

Plus en détail

Rapport de certification ANSSI-CC-2013/69. Dispositif de placement sous surveillance électronique PSE/PSEM/DEPAR

Rapport de certification ANSSI-CC-2013/69. Dispositif de placement sous surveillance électronique PSE/PSEM/DEPAR PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2013/69 Dispositif de

Plus en détail

Rapport de certification ANSSI-CC-2012/47. EJBCA, version 5.0.4

Rapport de certification ANSSI-CC-2012/47. EJBCA, version 5.0.4 PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2012/47 EJBCA, version 5.0.4

Plus en détail

Rapport de certification ANSSI-CC-2015/44. NXP JAVA OS1 ChipDoc v1.0 SSCD (J3K080/J2K080)

Rapport de certification ANSSI-CC-2015/44. NXP JAVA OS1 ChipDoc v1.0 SSCD (J3K080/J2K080) PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2015/44 NXP JAVA OS1 ChipDoc

Plus en détail

PREM IE R M IN IS T R E. Secrétariat général de la défense et de la sécurité nationale. Agence nationale de la sécurité des systèmes d'information

PREM IE R M IN IS T R E. Secrétariat général de la défense et de la sécurité nationale. Agence nationale de la sécurité des systèmes d'information PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d'information Rapport de certification ANSSI-CC-PP-2010/06 du profil de

Plus en détail

Rapport de certification ANSSI-CC-2014/89. TheGreenBow VPN Client

Rapport de certification ANSSI-CC-2014/89. TheGreenBow VPN Client PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2014/89 TheGreenBow VPN

Plus en détail

Rapport de certification ANSSI-CC-2014/26. SOMA801STM - application EAC, version 1.0

Rapport de certification ANSSI-CC-2014/26. SOMA801STM - application EAC, version 1.0 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2014/26 SOMA801STM - application

Plus en détail

Rapport de certification ANSSI-CC-PP-2015/08 du profil de protection «Cryptographic Module for CSP Signing Operations with Backup - PP CMCSOB»

Rapport de certification ANSSI-CC-PP-2015/08 du profil de protection «Cryptographic Module for CSP Signing Operations with Backup - PP CMCSOB» PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d'information du profil de protection «Cryptographic Module for CSP Signing»

Plus en détail

Rapport de certification ANSSI-CC-2013/40. Virtual Machine of Multos M3 - G230M mask with AMD 113v4

Rapport de certification ANSSI-CC-2013/40. Virtual Machine of Multos M3 - G230M mask with AMD 113v4 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2013/40 - G230M mask with

Plus en détail

Rapport de certification DCSSI-PP 2008/01 du profil de protection «Pare-feu personnel» (ref : PP-PFP, version 1.7)

Rapport de certification DCSSI-PP 2008/01 du profil de protection «Pare-feu personnel» (ref : PP-PFP, version 1.7) PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d'information Rapport de certification DCSSI-PP 2008/01 du profil de protection (ref : PP-PFP,

Plus en détail

Rapport de certification DCSSI-2009/16. Logiciel OpenTrust PKI version 4.3.4

Rapport de certification DCSSI-2009/16. Logiciel OpenTrust PKI version 4.3.4 PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information version 4.3.4 Paris, le 7 juillet 2009 Le Directeur central de la sécurité des

Plus en détail

Rapport de certification ANSSI-CC-2012/73. PEACOS801STM, version 1.1 Application ICAO BAC

Rapport de certification ANSSI-CC-2012/73. PEACOS801STM, version 1.1 Application ICAO BAC PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2012/73 PEACOS801STM,

Plus en détail

Rapport de certification ANSSI-CC-2010/29. Passeport CC IDeal Pass (sur composant SB23YR80B), version 1.5.0 Application ICAO BAC

Rapport de certification ANSSI-CC-2010/29. Passeport CC IDeal Pass (sur composant SB23YR80B), version 1.5.0 Application ICAO BAC PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Passeport CC IDeal Pass (sur composant SB23YR80B), Application

Plus en détail

Rapport de certification ANSSI-CC-2015/07. Xaica-AlphaPLUS Version 0116 (PQV) / 0100 (SPI-001 03)

Rapport de certification ANSSI-CC-2015/07. Xaica-AlphaPLUS Version 0116 (PQV) / 0100 (SPI-001 03) PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2015/07 Xaica-AlphaPLUS

Plus en détail

Rapport de certification ANSSI-CC-PP-2015/09 du profil de protection «Cryptographic Module for CSP key generation services - PP CMCKG»

Rapport de certification ANSSI-CC-PP-2015/09 du profil de protection «Cryptographic Module for CSP key generation services - PP CMCKG» PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d'information Rapport de certification ANSSI-CC-PP-2015/09 du profil de

Plus en détail

TOTAL STREAM PROTECTION IS THE KEY. Les critères communs et la certification. Christian Damour christian.damour@aql.fr. Yann Berson yann@webwasher.

TOTAL STREAM PROTECTION IS THE KEY. Les critères communs et la certification. Christian Damour christian.damour@aql.fr. Yann Berson yann@webwasher. TOTAL STREAM PROTECTION IS THE KEY Les critères communs et la certification Christian Damour christian.damour@aql.fr Yann Berson yann@webwasher.com Agenda Historique des critères communs Que sont les critères

Plus en détail

Rapport de certification ANSSI-2009/29. Suite logicielle IPS-Firewall pour boîtiers appliances NETASQ, version 8.0.1.1

Rapport de certification ANSSI-2009/29. Suite logicielle IPS-Firewall pour boîtiers appliances NETASQ, version 8.0.1.1 PREMIER MINISTRE Secrétariat général de la défense nationale Agence nationale de la sécurité des systèmes d information Suite logicielle IPS-Firewall pour boîtiers appliances, Paris, le 29 juillet 2009

Plus en détail

Rapport de certification ANSSI-CC-2011/71. Security BOX Enterprise 8.0 - Fonctionnalité de chiffrement transparent de fichiers build 8.0.2.

Rapport de certification ANSSI-CC-2011/71. Security BOX Enterprise 8.0 - Fonctionnalité de chiffrement transparent de fichiers build 8.0.2. PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2011/71 Security BOX Enterprise

Plus en détail

Rapport de certification 2002/04

Rapport de certification 2002/04 PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Schéma Français d Évaluation et de Certification de la Sécurité des Technologies

Plus en détail

Rapport de certification DCSSI-2008/38. ExaProtect Security Management Solution (SMS)

Rapport de certification DCSSI-2008/38. ExaProtect Security Management Solution (SMS) PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information ExaProtect Security Management Solution (SMS) Paris, le 27 novembre 2008 Le Directeur

Plus en détail

Rapport de certification ANSSI-CC-2013/64

Rapport de certification ANSSI-CC-2013/64 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2013/64 Carte à puce SLJ

Plus en détail

Rapport de certification ANSSI-CC-2013/17. Suite logicielle IPS-Firewall pour boîtiers NETASQ, version 8.1.7.1

Rapport de certification ANSSI-CC-2013/17. Suite logicielle IPS-Firewall pour boîtiers NETASQ, version 8.1.7.1 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2013/17 Suite logicielle

Plus en détail

Rapport de certification ANSSI-CC-2011/61. Carte CC IDeal Citiz (sur composants SB23YR80B et SB23YR48B), version 1.6.0 Application ICAO BAC

Rapport de certification ANSSI-CC-2011/61. Carte CC IDeal Citiz (sur composants SB23YR80B et SB23YR48B), version 1.6.0 Application ICAO BAC PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2011/61 Carte CC IDeal Citiz

Plus en détail

PROCEDURE AGREMENT DES CENTRES D'EVALUATION. Paris, le 05 mai 2015 N 1816/ANSSI/SDE/PSS/CCN Référence : ANSSI-CC-AGR-P-01/3.0

PROCEDURE AGREMENT DES CENTRES D'EVALUATION. Paris, le 05 mai 2015 N 1816/ANSSI/SDE/PSS/CCN Référence : ANSSI-CC-AGR-P-01/3.0 P R E M I E R M I N I S T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 05 mai 2015 N 1816/ANSSI/SDE/PSS/CCN Référence

Plus en détail

Rapport de certification DCSSI-2007/14. Sony FeliCa Contactless Smart Card IC Chip RC-S960/1

Rapport de certification DCSSI-2007/14. Sony FeliCa Contactless Smart Card IC Chip RC-S960/1 PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Rapport de certification DCSSI-2007/14 Sony FeliCa Contactless Smart Card IC Chip

Plus en détail

Rapport de certification DCSSI-2007/10

Rapport de certification DCSSI-2007/10 PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Rapport de certification DCSSI-2007/10 Carte EMV PRO Y : composant Atmel AT90SC9618RCT

Plus en détail

Rapport de certification ANSSI-CC-2012/11. Application Mobile PayPass 1.0 sur plateforme Orange NFC V2 G1 sur composant ST33F1ME

Rapport de certification ANSSI-CC-2012/11. Application Mobile PayPass 1.0 sur plateforme Orange NFC V2 G1 sur composant ST33F1ME PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 5 mars 2012 Le directeur général de l agence nationale

Plus en détail

Rapport de certification ANSSI-CC-2015/35

Rapport de certification ANSSI-CC-2015/35 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2015/35 Carte VITALE 2

Plus en détail

PREM IE R M IN IS T R E. Secrétariat général de la défense et de la sécurité nationale. Agence nationale de la sécurité des systèmes d'information

PREM IE R M IN IS T R E. Secrétariat général de la défense et de la sécurité nationale. Agence nationale de la sécurité des systèmes d'information PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d'information Rapport de certification ANSSI-CC-PP-2015/07 du profil de

Plus en détail

Rapport de certification ANSSI-CC-PP-2010/07 du profil de protection «Java Card System Closed Configuration» (PP-JCS-Closed-v2.

Rapport de certification ANSSI-CC-PP-2010/07 du profil de protection «Java Card System Closed Configuration» (PP-JCS-Closed-v2. PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d'information Rapport de certification ANSSI-CC-PP-2010/07 du profil de protection

Plus en détail

Rapport de certification ANSSI-CC-2011/48. Logiciel FAST360, version 5.0/22

Rapport de certification ANSSI-CC-2011/48. Logiciel FAST360, version 5.0/22 PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2011/48 Logiciel FAST360, version

Plus en détail

PREM IE R M IN IS T R E. Secrétariat général de la défense et de la sécurité nationale. Agence nationale de la sécurité des systèmes d'information

PREM IE R M IN IS T R E. Secrétariat général de la défense et de la sécurité nationale. Agence nationale de la sécurité des systèmes d'information PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d'information du profil de protection (version 4.0) Paris, le 31 mars

Plus en détail

Rapport de certification 2005/42. Applet CryptoSmart V2.0 sur base Oberthur COSMO64RSA D V5.2

Rapport de certification 2005/42. Applet CryptoSmart V2.0 sur base Oberthur COSMO64RSA D V5.2 PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d'information Paris, le 1 décembre 2005 Le Directeur central de la sécurité des systèmes d information

Plus en détail

Rapport de certification DCSSI-2007/09

Rapport de certification DCSSI-2007/09 PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Rapport de certification DCSSI-2007/09 AT90SC6408RFT masqué par l application Moneo

Plus en détail

Rapport de certification DCSSI-2007/12

Rapport de certification DCSSI-2007/12 PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Carte EMV PRO Y: composant Atmel AT90SC9618RCT rév. D, masqué par le logiciel EMV

Plus en détail

Rapport de certification PP/0308. Profil de protection «Cryptographic Module for CSP Signing Operations with Backup» Version 0.28

Rapport de certification PP/0308. Profil de protection «Cryptographic Module for CSP Signing Operations with Backup» Version 0.28 PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d'information Profil de protection «Cryptographic Module for CSP Signing Operations with Backup»

Plus en détail

Rapport de certification ANSSI-CC-2013/03. SAMSUNG S3FV9QM/S3FV9QK, revision 3

Rapport de certification ANSSI-CC-2013/03. SAMSUNG S3FV9QM/S3FV9QK, revision 3 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2013/03 SAMSUNG S3FV9QM/S3FV9QK,

Plus en détail

Rapport de certification ANSSI-CC-2009/36. Carte à puce ID-One Cosmo V7.0-a en configuration Large Dual, Large et Standard Dual

Rapport de certification ANSSI-CC-2009/36. Carte à puce ID-One Cosmo V7.0-a en configuration Large Dual, Large et Standard Dual PREMIER MINISTRE Secrétariat général de la défense nationale Agence nationale de la sécurité des systèmes d information Carte à puce ID-One Cosmo V7.0-a en configuration Large Dual, Large et Standard Dual

Plus en détail

Rapport de certification ANSSI-CC-2010/15. OmniPCX Enterprise Solution : logiciels OmniPCX Enterprise (release 9.0) et OmniVista 4760 (release 5.

Rapport de certification ANSSI-CC-2010/15. OmniPCX Enterprise Solution : logiciels OmniPCX Enterprise (release 9.0) et OmniVista 4760 (release 5. PREMIER MINISTRE Secrétariat général de la défense nationale Agence nationale de la sécurité des systèmes d information OmniPCX Enterprise Solution : logiciels OmniPCX Enterprise (release 9.0) et OmniVista

Plus en détail

Rapport de certification ANSSI-CC-2013/56

Rapport de certification ANSSI-CC-2013/56 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2013/56 Plateforme Orange

Plus en détail

Rapport de certification ANSSI-CC-2014/70. Suite logicielle IPS-Firewall, version 9.1.0.5

Rapport de certification ANSSI-CC-2014/70. Suite logicielle IPS-Firewall, version 9.1.0.5 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2014/70 Suite logicielle

Plus en détail

Rapport de certification PP 2004/01. Profil de Protection pour services bancaires et/ou financiers sur Internet

Rapport de certification PP 2004/01. Profil de Protection pour services bancaires et/ou financiers sur Internet PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d'information Profil de Protection pour services bancaires et/ou financiers sur Internet Paris,

Plus en détail

Rapport de certification 2007/05

Rapport de certification 2007/05 PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Rapport de certification 2007/05 Carte bancaire GemCB DDA : composant SLE66CX162PE

Plus en détail

Rapport de certification 2005/02. ACTIA IS2000 Motion Sensor SMARTACH LxRy

Rapport de certification 2005/02. ACTIA IS2000 Motion Sensor SMARTACH LxRy PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d'information Rapport de certification 2005/02 SMARTACH LxRy (références 921442 indice A, 921443

Plus en détail

Rapport de certification 2001/05

Rapport de certification 2001/05 PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE DIRECTION CENTRALE DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies

Plus en détail

Rapport de certification DCSSI-2009/07. MultiApp ID Citizen 72K (Generic configuration)

Rapport de certification DCSSI-2009/07. MultiApp ID Citizen 72K (Generic configuration) PREM IE R M IN IS T R E Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Rapport de certification DCSSI-2009/07 MultiApp ID Citizen 72K (Generic

Plus en détail

Évaluation et Certification Carlos MARTIN Responsable du Centre de Certification de la Sécurité des Technologies de l Information

Évaluation et Certification Carlos MARTIN Responsable du Centre de Certification de la Sécurité des Technologies de l Information Évaluation et Certification Carlos MARTIN Responsable du Centre de Certification de la Sécurité des Technologies de l Information Organisme de certification Comité directeur de la certification des T.I.

Plus en détail

Rapport de certification 2001/24

Rapport de certification 2001/24 PREMIER MINISTRE Secrétariat général de la Défense nationale Direction centrale de la sécurité des systèmes d information Schéma Français d Évaluation et de Certification de la Sécurité des Technologies

Plus en détail

NOTE D APPLICATION EXIGENCES DE SECURITE POUR UN CHARGEMENT DE CODE EN PHASE D'UTILISATION

NOTE D APPLICATION EXIGENCES DE SECURITE POUR UN CHARGEMENT DE CODE EN PHASE D'UTILISATION P R E M I E R M I N I S T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 23 janvier 2015 N 260/ANSSI/SDE/PSS/CCN

Plus en détail

Rapport de certification 2005/14. Digital Tachograph SMARTACH STANDARD (références 921435 Ind D, 921439 Ind D, 921463 Ind D, 921459 Ind A)

Rapport de certification 2005/14. Digital Tachograph SMARTACH STANDARD (références 921435 Ind D, 921439 Ind D, 921463 Ind D, 921459 Ind A) PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d'information Rapport de certification 2005/14 (références 921435 Ind D, 921439 Ind D, 921463

Plus en détail

Rapport de certification 2000/02

Rapport de certification 2000/02 PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de

Plus en détail

PREMIER MINISTRE NOTE D APPLICATION

PREMIER MINISTRE NOTE D APPLICATION PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Paris, le 15 mai 2006 N 1083/SGDN/DCSSI/SDR Référence : NOTE/06.1 NOTE D APPLICATION

Plus en détail

Rapport de maintenance ANSSI-CC-2013/43-M01

Rapport de maintenance ANSSI-CC-2013/43-M01 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d'information Rapport de maintenance Microcontrôleurs sécurisés ST33F1MF,

Plus en détail

Documentation d introduction aux critères communs

Documentation d introduction aux critères communs Documentation d introduction aux critères communs Nicolas Stouls To cite this version: Nicolas Stouls. Documentation d introduction aux critères communs. [Rapport Technique] 2004, pp.18.

Plus en détail

NOTE D APPLICATION REUTILISATION DES COMPOSANTS D'ASSURANCE ALC. Paris, 05 mai 2015 N 1817/ANSSI/SDE/PSS/CCN Référence : ANSSI-CC-NOTE-17/1.

NOTE D APPLICATION REUTILISATION DES COMPOSANTS D'ASSURANCE ALC. Paris, 05 mai 2015 N 1817/ANSSI/SDE/PSS/CCN Référence : ANSSI-CC-NOTE-17/1. P R E M I E R M I N I S T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, 05 mai 2015 N 1817/ANSSI/SDE/PSS/CCN Référence

Plus en détail

Rapport de certification ANSSI-CC-2014/18

Rapport de certification ANSSI-CC-2014/18 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2014/18 Microcontrôleur

Plus en détail

Rapport de certification ANSSI-CC-2013/65

Rapport de certification ANSSI-CC-2013/65 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2013/65 Application Mobile

Plus en détail

Rapport de certification ANSSI-CC-2014/94

Rapport de certification ANSSI-CC-2014/94 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2014/94 Microcontrôleur

Plus en détail

Rapport de certification PP/0304. JavaCard System Standard 2.1.1 Configuration Protection Profile Version 1.0b

Rapport de certification PP/0304. JavaCard System Standard 2.1.1 Configuration Protection Profile Version 1.0b PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d'information Rapport de certification PP/0304 Standard 2.1.1 Configuration Protection Profile

Plus en détail

Rapport de certification 2002/08

Rapport de certification 2002/08 PREMIER MINISTRE Secrétariat général de la Défense nationale Direction centrale de la sécurité des systèmes d information Schéma Français d Évaluation et de Certification de la Sécurité des Technologies

Plus en détail

Rapport de certification ANSSI-CC-2014/46

Rapport de certification ANSSI-CC-2014/46 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification Microcontrôleur sécurisé ST33G1M2

Plus en détail

Rapport de certification PP/0301

Rapport de certification PP/0301 PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Schéma français d évaluation et de certification de la sécurité des technologies

Plus en détail

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3. PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur

Plus en détail

SAR-SSI, La Rochelle 20/05/2011

SAR-SSI, La Rochelle 20/05/2011 Certification de Sécurité de Premier Niveau Une réponse pragmatique aux besoins du marché civil SAR-SSI, La Rochelle 20/05/2011 Frédéric Rémi - frederic.remi@amossys.fr ACCREDITATION N 1-2190 PORTEE DISPONIBLE

Plus en détail

Cible de Sécurité Critères Communs niveau EAL3+ Document v1 révision 10

Cible de Sécurité Critères Communs niveau EAL3+ Document v1 révision 10 Version 4.0 Cible de Sécurité Critères Communs niveau EAL3+ Document v1 révision 10 Sommaire 1. INTRODUCTION DE LA CIBLE DE SECURITE...5 1.1. Identification de la cible de sécurité... 5 1.2. Vue d'ensemble

Plus en détail

Rapport de maintenance ANSSI-CC-2009/49-M01

Rapport de maintenance ANSSI-CC-2009/49-M01 PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d'information Carte à puce ID-One Cosmo V7.0-n en configuration Basic, Certificat

Plus en détail

Rapport de certification PP/0002

Rapport de certification PP/0002 PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de

Plus en détail

Rapport de certification ANSSI-CC-2014/96

Rapport de certification ANSSI-CC-2014/96 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CC-2014/96 (S1133159, release

Plus en détail

Rapport de certification ANSSI-CSPN-2012/05. Routeur chiffrant Navista Version 2.8.0

Rapport de certification ANSSI-CSPN-2012/05. Routeur chiffrant Navista Version 2.8.0 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2012/05 Routeur chiffrant

Plus en détail

Evaluation, Certification Axes de R&D en protection

Evaluation, Certification Axes de R&D en protection 2009 Evaluation, Certification Axes de R&D en protection Dr CEA/LETI Alain.merle@cea.fr 1 Evaluation, Certification, Axes de R&D en protection Evaluation / Certification Le Schéma Français de Certification

Plus en détail

4 LA CERTIFICATION DE LA SÉCURITÉ DES CARTES ET DES TERMINAUX

4 LA CERTIFICATION DE LA SÉCURITÉ DES CARTES ET DES TERMINAUX 4 LA CERTIFICATION DE LA SÉCURITÉ DES CARTES ET DES TERMINAUX Depuis plusieurs années, l Observatoire s est montré attentif aux enjeux liés à la sécurité des cartes et des terminaux de paiement dans le

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Security Intelligence Platform 4.0.5 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

NOTE D APPLICATION PRISE EN COMPTE DES OUTILS DANS LES EVALUATIONS LOGICIELLES

NOTE D APPLICATION PRISE EN COMPTE DES OUTILS DANS LES EVALUATIONS LOGICIELLES P R E M I E R M I N I S T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 05 mai 2015 N 1814/ANSSI/SDE/PSS/CCN Référence

Plus en détail

PROCEDURE CERTIFICATION DE CONFORMITE DES DISPOSITIFS DE CREATION DE SIGNATURE

PROCEDURE CERTIFICATION DE CONFORMITE DES DISPOSITIFS DE CREATION DE SIGNATURE PREMIER MINISTRE Secrétariat général de la défense nationale Paris, le 7 avril 2003 872 /SGDN/DCSSI/SDR Référence : SIG/P/01.1 Direction centrale de la sécurité des systèmes d information PROCEDURE CERTIFICATION

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation du Standard Protection Profile for Enterprise Security Management Access Control Version 2.0 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification NetIQ Secure Configuration Manager 5.9.1 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

Rapport de certification ANSSI-CSPN-2012/03. Librairie ncode iwlib Java Version 2.1

Rapport de certification ANSSI-CSPN-2012/03. Librairie ncode iwlib Java Version 2.1 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2012/03 Librairie ncode

Plus en détail

Rapport de certification PP/0101

Rapport de certification PP/0101 PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de

Plus en détail

Vers la certification des applications Java Card TM

Vers la certification des applications Java Card TM AS CNRS Sécurité logicielle : modèles et vérification Vers la certification des applications Java Card TM sauveron@labri.u-bordeaux.fr http://dept-info.labri.u-bordeaux.fr/~sauveron 20-21 février 2003

Plus en détail

L évaluation à haut niveau d assurance

L évaluation à haut niveau d assurance L évaluation à haut niveau d assurance Agréé DCSSI Vos contacts : ACCREDITATION N 1-1528 Section Laboratoires Christophe ANIER (Responsable Technique du CESTI) christophe.anier@aql.fr Christian DAMOUR

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 + du produit Data Loss Prevention Version 11.1.1 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 + du système d exploitation Data Domain version 5.2.1.0 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification

Plus en détail

Profil de Protection Application de chiffrement de données à la volée sur mémoire de masse

Profil de Protection Application de chiffrement de données à la volée sur mémoire de masse Direction centrale de la sécurité des systèmes d information Profil de Protection Application de chiffrement de données à la volée sur mémoire de masse Date d émission : Août 2008 Référence : Version :

Plus en détail

Mise à jour de la Certification des critères communs (ISO15408)

Mise à jour de la Certification des critères communs (ISO15408) Mise à jour de la Certification des critères communs (ISO15408) Novembre 2012 Résumé Ce document est destiné à epliquer le but et les objectifs de la Certification des critères communs. Il couvre la direction

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2+ du produit Symantec Endpoint Protection Version 12.1.2 Préparé par : Centre de la sécurité des télécommunications Canada Organisme de certification Schéma canadien

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification McAfee Change Control et Application Control 6.1.3 avec epolicy Orchestrator 5.1.1 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme de certification

Plus en détail

Schéma Français. de la Sécurité des Technologies de l Information

Schéma Français. de la Sécurité des Technologies de l Information Schéma Français de la Sécurité des Technologies de l Information Ce document constitue le rapport de certification du produit Composant ST19SF04 masqué par l application B4/B0 V3 (référence ST19SF04AB/RVK).

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 3 + du produit Symantec Risk Automation Suite 4.0.5 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Trustwave AppDetectivePRO Version 8.3.1 préparé par le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Series Appliances with HYPERMAX OS 5977 Préparé par : le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

Règles relatives à la qualification des produits de sécurité par la DCSSI

Règles relatives à la qualification des produits de sécurité par la DCSSI Secrétariat général de la défense nationale Paris, le 26 février 2004 N 000451/SGDN/DCSSI/SDR Direction centrale de la sécurité des systèmes d information Règles relatives à la qualification des produits

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 + du produit RSA Archer egrc Platform v5.0 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification NetScout ngeniusone Unified Performance Management Platform V5.2.1 and ngenius InfiniStream V5.2.1 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme

Plus en détail

Profil de Protection Application de chiffrement de données à la volée sur mémoire de masse (PP-CDISK)

Profil de Protection Application de chiffrement de données à la volée sur mémoire de masse (PP-CDISK) Direction centrale de la sécurité des systèmes d information Profil de Protection Application de chiffrement de données à la volée sur mémoire de masse () Date de publication : Avril 2006 Référence : Version

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 4 + du produit WatchGuard XTM Firewalls and Fireware XTM Operating System v11.5.1 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d

Plus en détail