Schéma Français. de la Sécurité des Technologies de l Information

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimension: px
Commencer à balayer dès la page:

Download "Schéma Français. de la Sécurité des Technologies de l Information"

Transcription

1 Schéma Français de la Sécurité des Technologies de l Information

2 Ce document constitue le rapport de certification du produit Composant ST19SF04 masqué par l application B4/B0 V3 (référence ST19SF04AB/RVK). Ce rapport de certification est disponible sur le site internet de la Direction Centrale de la Sécurité des Systèmes d'information à l'adresse suivante : Toute correspondance relative à ce rapport de certification doit être adressée au : Secrétariat général de la Défense nationale DCSSI Centre de Certification 51, boulevard de Latour-Maubourg PARIS 07 SP. Mél: La reproduction de tout ou partie de ce document, sans altérations ni coupures, est autorisée. Tous les noms des produits ou des services de ce document sont des marques déposées de leur propriétaire respectif. Ce document est folioté de 1 à 24 et certificat.

3 PREMIER MINISTRE Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de l Information CERTIFICAT 2001/09 Composant ST19SF04 masqué par l application B4/B0 V3 (référence ST19SF04AB/RVK) Développeurs : STMicroelectronics SA, Bull CP8 Commanditaire : GIE Cartes Bancaires Les caractéristiques de sécurité du produit ci-dessus identifiées dans le rapport de certification ont été évaluées par un Centre d Évaluation de la Sécurité des Technologies de l Information selon les critères ITSEC. Le niveau d évaluation atteint est le niveau E3. La résistance minimum des mécanismes est cotée élevée. Ce certificat est valide pour la version du produit mentionnée, sous réserve du respect des recommandations d utilisation et des restrictions éventuelles figurant dans le rapport de certification associé. Le 30 avril 2001, Le Commanditaire : L Organisme de certification : L Administrateur du GIE Cartes Bancaires Le Directeur chargé de la sécurité des systèmes d information Yves RANDOUX Henri SERRES La présence du logo propre à l Accord de Reconnaissance Mutuelle : - confirme que ce certificat a été délivré sous l autorité d un organisme de certification qualifié qui fait partie du Groupe d Accord, - indique que l autorité de délivrance déclare qu il s agit d un certificat conforme comme défini dans l Accord, - établit par conséquent des éléments pour baser la confiance dans le fait que le certificat est un certificat conforme, bien que ne pouvant en donner une garantie, et qu il sera reconnu en pratique par les autres membres du Groupe d Accord. Les jugements contenus dans le certificat et le rapport de certification sont ceux de l organisme de certification qualifié qui a procédé à la délivrance et ceux du centre d évaluation de la sécurité des technologies de l information qui a conduit l évaluation. L utilisation du logo de cet Accord n entraîne pas la reconnaissance par les autres membres d une quelconque responsabilité relative à ces jugements ou à tout dommage encouru en raison de la confiance accordée à ces jugements par une tierce partie. Organisme de certification : Secrétariat général de la Défense nationale DCSSI 51, boulevard de Latour-Maubourg PARIS 07 SP.

4

5 Rapport de certification 2001/09 2 Chapitre 1 Introduction 1 Ce document représente le rapport de certification du produit Composant masqué B4/B0 V3 - ST19SF04 (référence ST19SF04AB/RVK). 2 Les fonctionnalités, vis-à-vis desquelles le niveau E3 des critères ITSEC a été atteint, sont consignées dans le chapitre 4 du présent rapport. 3 La cible d évaluation est le produit constitué du composant ST19SF04 fabriqué par STMicroelectronics SA et du logiciel B4/B0 V3 développé par Bull CP8. 4 Ce produit est destiné à être inséré dans un support plastique afin d être utilisé pour des opérations de paiements ou de retraits dans le système «CB». Les phases d encartage et de personnalisation du composant masqué sont hors du champs de la présente évaluation. Avril 2001 Page 1

6 1 - Introduction Rapport de certification 2001/09 Page 2 Avril 2001

7 Rapport de certification 2001/09 4 Chapitre 2 Résultats 2.1 Conclusions de l évaluation 5 La cible d évaluation détaillée au chapitre 3 du présent rapport satisfait aux exigences du niveau d évaluation E3. 6 La résistance minimum des mécanismes de sécurité de la cible d évaluation est cotée élevée. 7 La recherche de vulnérabilités exploitables au cours de l évaluation a été définie par la quantité d informations disponibles pour le niveau E3 et par la compétence, l opportunité et les ressources correspondant à la cotation élevée de la résistance minimum des mécanismes. 8 Les caractéristiques de sécurité qui ont été évaluées sont définies au chapitre 4 du présent rapport. 9 Les vulnérabilités connues du commanditaire de l évaluation ont été toutes communiquées aux évaluateurs et au certificateur conformément au critère [ITSEC 3.35]. 10 L utilisation sécuritaire de la cible d évaluation est soumise aux recommandations figurant dans le chapitre 5 du présent rapport. 2.2 Contexte de l évaluation 11 L évaluation a été menée conformément aux critères ITSEC [ITSEC], à la méthodologie définie dans le manuel ITSEM [ITSEM] et aux interprétations définies dans la bibliothèque d'interprétation commune JIL [JIL]. 12 Le micro-circuit ST19SF04ABxyz étant certifié [2000/12] et couvert par le programme de maintenance PM/01 enregistré par le schéma français, les aspects liés au micro-circuit n ont pas été refaits. Pour ces aspects, l évaluateur s est reposé sur les verdicts de l évaluation précédente. 13 L évaluation s est déroulée consécutivement au développement du produit. Avril 2001 Page 3

8 2 - Résultats Rapport de certification 2001/09 14 Le commanditaire de l évaluation est le GIE Cartes Bancaires (ci-après "le commanditaire") : GIE Cartes Bancaires Washington Plaza Paris Cedex 08 France 15 La cible d évaluation a été développée par les sociétés : 16 STMicroelectronics SA pour le développement du micro-circuit : STMicroelectronics SA ZI de Rousset BP Rousset Cedex France 17 Bull CP8 pour le développement du masque B4/B0 V3 : Bull CP8 68 route de Versailles BP Louveciennes France 18 La fabrication du micro-circuit et le masquage du logiciel se déroulent sur le site de STMicroelectronics de Rousset : STMicroelectronics SA ZI de Rousset BP Rousset Cedex France 19 Les travaux d évaluation du masque et les travaux de composition avec les résultats de l évaluation du micro-circuit ont été conduits par le Centre d Evaluation de la Sécurité des Technologies de l Information CESTI LETI (ci-après "l évaluateur") : CESTI LETI CEA/LETI 17 rue des Martyrs Grenoble Cedex 9 France Page 4 Avril 2001

9 Rapport de certification 2001/09 6 Chapitre 3 Présentation du produit 3.1 Objet 20 La cible d évaluation est constituée du micro-circuit électronique ST19SF04 développé par STMicroelectronics SA et de l application B4/B0 V3 masquée sur celui-ci développée par Bull CP8. 21 Ce composant masqué est destiné à être placé dans un support plastique afin d être utilisé pour des opérations de paiements et de retraits dans le système «CB». 3.2 Historique du développement 22 Le micro-circuit électronique a été développé par STMicroelectronics SA et est fabriqué sur son site de Rousset. Ce micro-circuit a été certifié en 2000 [2000/12] puis a été introduit dans le programme de maintenance PM/01 de la plate-forme ST L application masquée a été développée par Bull CP8 sur son site de Louveciennes. 3.3 Description des matériels 24 Le micro-circuit électronique ST19SF04 est un micro contrôleur bâti sur la plateforme ST19. Il dispose d'une unité centrale de 8 bits associée à une mémoire de travail de 960 octets (RAM), d'une mémoire de programme de 32 Koctets (ROM), et d'une mémoire non volatile de 4Koctets (EEPROM). 25 Celui-ci dispose également de différents mécanismes de sécurité participant à la réalisation des fonctions dédiées à la sécurité pour lesquelles l évaluation a été demandée. 3.4 Description des logiciels 26 L application bancaire «B4/B0 V3 - ST19SF04» est le logiciel embarqué sur le micro-circuit électronique. Il réalise les fonctions nécessaires à l application bancaire CB et participe à la réalisation des fonctions dédiées à la sécurité telles que définies dans le chapitre 4. Avril 2001 Page 5

10 3 - Présentation du produit Rapport de certification 2001/ Description de la documentation 27 La documentation d utilisation et d administration de la cible d évaluation est la suivante : - Contrat porteur émis par les banques à destination des porteurs de cartes bancaires CB, - Manuels émis par le GIE Cartes Bancaires à destination des personnalisateurs et des émetteurs de cartes. Page 6 Avril 2001

11 Rapport de certification 2001/09 16 Chapitre 4 Évaluation 4.1 Préambule 28 Les paragraphes 4.2 à 4.4 ci-après reprennent les éléments essentiels de la cible de sécurité [ST] qui est la référence pour l évaluation. 29 Le micro-circuit ST19SF04ABxyz étant certifié [2000/12] et couvert par le programme de maintenance PM/01 enregistré par le schéma français, les aspects liés au micro-circuit n ont pas été refaits. Pour ces aspects, l évaluateur s est reposé sur les verdicts de l évaluation précédente. 4.2 Caractéristiques de sécurité 30 Le produit permet d assurer : - la confidentialité des données sensibles contenues dans la mémoire des données (codes et clés secrètes), - la confidentialité du logiciel d application, - l authentification des différents utilisateurs du produit. 31 Le produit garantit qu à l issue de sa phase de fabrication, l accès aux données de sa mémoire sera uniquement contrôlé par le logiciel d application. 32 Le produit met en oeuvre, suivant les différentes phases de vie de la carte, des fonctions d authentification et de contrôle d accès vis-à-vis de ses utilisateurs et administrateurs ainsi que des fonctions d authentification de la carte et des transactions bancaires. 33 Le produit permet de garantir la pérennité des données des mémoires. 34 Une fonction d hyperviseur de sécurité détecte des conditions de fonctionnement ou d environnement anormales et génère toute action adéquate pour garantir la sécurité du produit. 35 Le produit met également en oeuvre des fonctions d imputation (limitées à l enregistrement de l identité de l utilisateur à l origine du blocage de la carte et à l enregistrement de l identité de l utilisateur à l origine de l écriture d un mot dans les zones réservées en écriture de la mémoire utilisateur du composant masqué) et d audit (lecture simple de ces enregistrements). Avril 2001 Page 7

12 4 - Évaluation Rapport de certification 2001/ Menaces 36 Dans le contexte de la cible d évaluation, la liste des menaces identifiées dans la cible de sécurité [ST] est la suivante : - divulgation des données confidentielles et du logiciel d application contenus dans le produit, - substitution du composant masqué d une carte CB personnalisée en vue de la réalisation d un clone, - personnalisation du produit par une entité non autorisée, - utilisation des services offerts par le système CB par une personne différente du porteur de la carte CB, - modification non autorisée des données confidentielles, - modification non autorisée des données de configuration et d exploitation, - modification non autorisée d une quelconque donnée d une carte invalidée. 4.4 Fonctions dédiées à la sécurité de la cible d évaluation 37 Les fonctions dédiées à la sécurité évaluées sont les suivantes : - Intégrité des données des mémoires, - Authentification des utilisateurs et administrateurs, - Authentification de la carte, - Authentification (certification) des transactions, - Inhibition du mode tests, - Cloisonnement des zones de mémoire à l issue de la phase de fabrication, - Contrôle d accès aux zones de mémoire, - Irréversibilité des phases, - Enregistrement de l autorité qui a écrit, - Enregistrement de l autorité qui a bloqué, - Hyperviseur de sécurité, - Lecture des données en phase d invalidation, - Réinitialisation, - Disponibilité des services rendus par le composant masqué. 4.5 Rapport Technique d Évaluation 50 Les résultats de l évaluation sont exposés dans le Rapport Technique d Evaluation [RTE]. 4.6 Principaux résultats de l évaluation 51 Le produit répond aux exigences des critères ITSEC pour le niveau E3. Page 8 Avril 2001

13 Rapport de certification 2001/ Évaluation Exigences de conformité Spécifications des besoins 52 Les critères ITSEC pour cet aspect de la conformité sont définis dans les paragraphes E3.2, E3.3 et E3.4 du document ITSEC. 53 La cible de sécurité rédigée par le commanditaire décrit l'ensemble des fonctions dédiées à la sécurité. L'argumentaire du produit précise l'environnement d'utilisation prévu identifié à travers les différentes étapes de vie du micro-circuit électronique, depuis sa fabrication jusqu'en phase d'invalidation ainsi que le mode d'utilisation prévu. Les objectifs de sécurité sont précisés. Une correspondance est établie entre les fonctions dédiées à la sécurité et les menaces. 54 Le document cible de sécurité [ST] précise comment les fonctions dédiées à la sécurité sont appropriées au mode d'utilisation prévu et adéquates pour contrer les menaces supposées. Les évaluateurs se sont assurés de l'absence d'incohérence dans la cible de sécurité. Conception générale 55 Les critères ITSEC pour cet aspect de la conformité sont définis dans les paragraphes E3.5, E3.6 et E3.7 du document ITSEC. 56 La conception générale fournie pour cette évaluation ne couvre que la partie logicielle de la cible d évaluation. Pour le micro-circuit, l évaluateur se repose sur le verdict «réussite» émis dans le cadre de l évaluation du circuit. 57 Le dossier de conception générale fourni par Bull CP8 décrit la structure générale du masque. Les interfaces externes du composant masqué sont également décrites. La réalisation des fonctions dédiées à la sécurité de la cible de sécurité [ST] est décrite pour chacun des composants. La manière dont les composants principaux réalisent chacune des fonctions dédiées à la sécurité est également décrite. Conception détaillée 58 Les critères ITSEC pour cet aspect de la conformité sont définis dans les paragraphes E3.8, E3.9 et E3.10 du document ITSEC. 59 La conception détaillée fournie pour cette évaluation ne couvre que la partie logicielle de la cible d évaluation. Pour le micro-circuit, l évaluateur se repose sur le verdict «réussite» émis dans le cadre de l évaluation du circuit. 60 Le dossier de conception détaillée fournit la conception des composants élémentaires qui mettent en oeuvre les composants principaux issus de la conception générale. La spécification ainsi que les interfaces des composants élémentaires sont décrites. Toutes les fonctions dédiées à la sécurité de la cible de sécurité [ST] sont décrites dans la conception détaillée. Les mécanismes de sécurité réalisant l'ensemble des fonctions dédiées à la sécurité sont décrits ; leurs spécifications (rôle et fonction) sont définies. Les liens qui existent entre les Avril 2001 Page 9

14 4 - Évaluation Rapport de certification 2001/09 fonctions dédiées à la sécurité et les mécanismes sont établis. La manière dont les mécanismes procurent les fonctions est décrite. La traçabilité entre les fonctions dédiées à la sécurité et les mécanismes de sécurité puis les composants est vérifiée. Réalisation 61 Les critères ITSEC pour cet aspect de la conformité sont définis dans les paragraphes E3.11, E3.12 et E3.13 du document ITSEC. 62 Seul le code source du masque a été analysé pour cette évaluation. Pour les schémas descriptifs du micro-circuit, l évaluateur se repose sur le verdict «réussite» émis dans le cadre de l évaluation du circuit. 63 La description de la correspondance entre le code source du masque B4/B0 V3 et la conception détaillée du masque a permis de vérifier la traçabilité des fonctions et des mécanismes dédiés à la sécurité. Cette correspondance met en relation chacun des composants élémentaires de la conception détaillée avec les éléments descriptifs de la réalisation du masque. Chacune de ces relations a pu être vérifiée par l évaluateur. 64 Par ailleurs, une analyse détaillée du code source du masque ainsi que de la description de la correspondance a été effectuée par l évaluateur pour rechercher des vulnérabilités potentielles. Pour mener cette analyse, l évaluateur a notamment utilisé le guide de programmation sécuritaire issu de l évaluation du micro-circuit et fourni par STMicroelectronics SA. 65 La documentation détaillée de tests fournie par Bull CP8 décrit le plan des tests, l'objectif des tests, les procédures de tests à réaliser ainsi que les résultats des tests. Ces documents décrivent la correspondance entre les tests et les mécanismes de sécurité tels qu'ils sont décrits dans la conception détaillée et représentés dans le code source du masque. Pour l analyse des tests menés sur le micro-circuit, l évaluateur se repose sur le verdict «réussite» émis dans le cadre de l évaluation du circuit. 66 Les évaluateurs ont procédé par échantillonnage au passage des programmes de tests sur le produit complet (composant masqué). 67 Les résultats des tests correspondent effectivement aux résultats attendus. La couverture des tests de la cible d'évaluation a été estimée comme acceptable. D'autres types de tests complémentaires ont été réalisés par les évaluateurs pour rechercher des erreurs. Gestion de configuration 68 Les critères ITSEC pour cet aspect de la conformité sont définis dans les paragraphes E3.15, E3.16 et E3.17 du document ITSEC. 69 La référence exacte de la cible d évaluation est le composant masqué ST19SF04AB/RVK. Page 10 Avril 2001

15 Rapport de certification 2001/ Évaluation 70 Seul le système de gestion de configuration de Bull CP8 a été analysé pour cette évaluation. Pour le système de gestion de configuration de STMicroelectronics, l évaluateur se repose sur le verdict «réussite» émis dans le cadre de l évaluation du micro-circuit. 71 Le GIE Cartes Bancaires gérant également une partie des fournitures de l évaluation, le système de gestion de configuration de ces documents a été évalué. 72 Chacune des tâches a fait l'objet d'une inspection des procédures et d'une visite sur site pour vérifier que les procédures sont appliquées. 73 Le développement du masque B4/B0 V3 s'appuie sur un système de gestion de configuration comportant une procédure de réception des composants élémentaires de la cible d'évaluation ainsi que de sa documentation. Ce système apporte la garantie nécessaire permettant de préciser que seuls les changements autorisés sont possibles. Un ensemble de procédures intégrées dans le système qualité de l'entreprise décrivent l'utilisation pratique du système de gestion de configuration du produit. Des contrôles fréquents ont lieu au cours du processus de développement. 74 La visite du site de développement du masque à Louveciennes (Bull CP8) a permis de vérifier que les procédures décrites sont appliquées. 75 Le système de gestion de configuration des documents gérés par le GIE Cartes Bancaires a également été analysé pour s assurer que le système contrôle les révisions et livraisons de ces documents. 76 La visite du site du GIE Cartes Bancaires à Paris a permis de vérifier que les procédures décrites sont appliquées. Langages de programmation 77 Les critères ITSEC pour cet aspect de la conformité sont définis dans les paragraphes E3.18, E3.19 et E3.20 du document ITSEC. 78 Le langage utilisé pour la réalisation du code source est le langage assembleur ST19. Les directives d'assemblage et de compilation du code source du masque ont été analysées. Les instructions du langage sont clairement définies. Les directives de l'assembleur sont bien documentées. Sécurité des développeurs 79 Les critères ITSEC pour cet aspect de la conformité sont définis dans les paragraphes E3.21, E3.22 et E3.23 du document ITSEC. 80 L évaluateur a analysé la sécurité du développement du masque chez Bull CP8 et une partie de la documentation associée au produit chez le GIE Cartes Bancaires. Avril 2001 Page 11

16 4 - Évaluation Rapport de certification 2001/09 81 Pour la sécurité de l environnement de développement et de production du microcircuit, l évaluateur se repose sur le verdict «réussite» émis dans le cadre de l évaluation du circuit. 82 Des procédures physiques, organisationnelles, techniques, liées au personnel assurent pour chaque organisme un niveau de protection de la cible d'évaluation, de ses constituants ainsi que de sa documentation qui répond aux exigences du niveau d'évaluation E3. 83 Des visites sur chacun des sites ont permis de vérifier l'application de ces procédures. Documentation utilisateur et d administration 84 Les critères ITSEC pour cet aspect de la conformité sont définis dans les paragraphes E3.25, E3.26 et E3.27 ainsi que E3.28, E3.29, E3.30 du document ITSEC. 85 La documentation de la cible d évaluation a été fournie par le GIE Cartes Bancaires ([UTIL] et [ADMIN]). 86 L'utilisateur final est constitué du porteur de la carte et du terminal applicatif. Les fonctions dédiées à la sécurité qui concernent l'utilisateur final apparaissent dans la documentation accompagnée de lignes directrices pour une utilisation sûre de ces fonctions. 87 Les phases de prépersonnalisation et de personnalisation de la carte sont essentielles pour l'administration des fonctions de sécurité : le prépersonnalisateur et le personnalisateur sont les administrateurs de la carte. La documentation d'administration décrit comment la cible d'évaluation doit être administrée de façon sûre. Livraison et configuration 88 Les critères ITSEC pour cet aspect de la conformité sont définis dans les paragraphes E3.32, E3.33 et E3.34 du document ITSEC. 89 Les procédures de livraison et de configuration des composants masqués contenant l application B4/B0 V3 ont été fournies par le GIE Cartes Bancaires. 90 La visite sur le site de Bull CP8 a permis de vérifier que ce dernier respectait ces procédures. Démarrage et exploitation 91 Les critères ITSEC pour cet aspect de la conformité sont définis dans les paragraphes E3.35, E3.36 et E3.37 du document ITSEC. 92 Pour l évaluation, la phase de démarrage correspond à la réponse au «reset» de la carte. Page 12 Avril 2001

17 Rapport de certification 2001/ Évaluation 93 De plus, la nature du produit fait qu il n est pas possible pendant l exploitation ou le démarrage du produit de désactiver l une des fonctions de sécurité ni d envisager une maintenance corrective du produit si ce n est par un nouveau développement Exigences en efficacité Pertinence 94 Les critères ITSEC pour cet aspect de l efficacité sont définis dans les paragraphes 3.14, 3.15 et 3.16 du document ITSEC. 95 L analyse globale fournie par le GIE Cartes Bancaires montre comment les menaces sont contrées par les fonctions dédiées à la sécurité. Pour cela un ou plusieurs chemins d attaque permettant de concrétiser les menaces ont été exposés, et il a été montré que les fonctions dédiées à la sécurité mettaient en échec ces attaques et permettaient donc de contrer les menaces identifiées dans la cible de sécurité. 96 L analyse de pertinence fournie par Bull CP8 s appuie sur la conception détaillée ainsi que des éléments de sa réalisation. Cette analyse décrivant les liens entre les mécanismes dédiés à la sécurité et les menaces a permis de montrer que chacune des menaces est convenablement contrée, dans le contexte de la cible d'évaluation, par une ou plusieurs fonctions dédiées à la sécurité. Cohésion 97 Les critères ITSEC pour cet aspect de l efficacité sont définis dans les paragraphes 3.18, 3.19 et 3.20 du document ITSEC. 98 L analyse globale faite par le développeur du masque montre qu aucune interaction entre deux fonctions dédiées à la sécurité ne crée de faiblesse pour la sécurité ; chacun des deux développeurs a construit sa propre analyse de cohésion des mécanismes dédiés à la sécurité du micro-circuit électronique d une part et du logiciel d application d autre part qui montrent que les fonctions et les mécanismes dédiés à la sécurité coopèrent pour former un ensemble intégré et efficace. 99 Les analyses de cohésion des développeurs ont pris en compte la conception détaillée de la cible d'évaluation ainsi que la réalisation. Les évaluateurs ont vérifié l'absence de conflit ou de contradiction entre les fonctions ou les mécanismes dédiés à la sécurité. 100 Pour l analyse de cohésion des fonctions du micro-circuit, l évaluateur se repose sur le verdict «réussite» émis dans le cadre de l évaluation du circuit. Résistance des mécanismes 101 Les critères ITSEC pour cet aspect de l efficacité sont définis dans les paragraphes 3.22, 3.23 et 3.24 du document ITSEC. Avril 2001 Page 13

18 4 - Évaluation Rapport de certification 2001/ Le développeur du masque a fourni une analyse de la résistance des mécanismes. La liste des mécanismes critiques a été clairement définie. L évaluateur a analysé cette documentation et mené des analyses complémentaires. La cotation indépendante des mécanismes faite par l évaluateur est en accord avec les analyses des développeurs. La cotation globale des mécanismes est considérée comme élevée. Les tests de pénétration ont permis de confirmer cette cotation. 103 Pour l analyse de la résistance des mécanismes du micro-circuit, l évaluateur se repose sur le verdict «SOF-high» et la conformité au composant d assurance AVA_VLA.4 des Critères Communs émis dans le cadre de l évaluation du circuit. 104 La résistance élevée des mécanismes utilisant des calculs cryptographiques a été confirmée par la DCSSI sous réserve du respect des recommandations d utilisation de la cible d évaluation résumées au chapitre 5. Facilité d emploi 105 Les critères ITSEC pour cet aspect de l efficacité sont définis dans les paragraphes 3.31, 3.32 et 3.33 du document ITSEC. 106 L analyse de facilité d'emploi fournie par le GIE Cartes Bancaires et associée à la documentation d'exploitation de la cible d'évaluation identifie les modes d'exploitation de la cible d'évaluation ainsi que les conséquences et les implications de ces modes sur le maintien d'une exploitation sûre de la cible d'évaluation. 107 L évaluateur a réalisé des tests complémentaires afin de confirmer les résultats de l analyse de facilité d'emploi. Vulnérabilités de la construction et en exploitation 108 Les critères ITSEC pour ces aspects de l efficacité sont définis dans les paragraphes 3.26, 3.27, 3.28 et 3.35, 3.36, 3.37 du document ITSEC. 109 Une analyse de vulnérabilités pour un composant masqué est menée en 3 phases : a) analyse de vulnérabilité du micro-circuit, b) analyse de vulnérabilité du masque, c) analyse de vulnérabilité globale du composant masqué (phase de composition). 110 Seules les phases b et c ont été faites pour cette évaluation. La phase a n a pas été refaite et l évaluateur s est reposé sur les verdicts de l évaluation précédente du micro-circuit. 111 L évaluateur s est ensuite assuré à travers des tests de pénétration sur le produit global que les vulnérabilités potentielles en construction et en exploitation ne sont pas exploitables même avec un niveau élevé de ressource de l attaquant tel que défini par la cotation de la résistance des mécanismes. Page 14 Avril 2001

19 Rapport de certification 2001/ Évaluation Verdicts 112 Pour tous les aspects des critères ITSEC identifiés ci-dessus, un avis réussite a été émis. Avril 2001 Page 15

20 4 - Évaluation Rapport de certification 2001/09 Page 16 Avril 2001

21 Rapport de certification 2001/09 18 Chapitre 5 Recommandations d utilisation 113 La cible d évaluation Composant ST19SF04 masqué par l application B4/B0 V3 (référence ST19SF04AB/RVK) est soumise aux recommandations d utilisation exprimées ci-dessous. Le respect de ces recommandations conditionne la validité du certificat. a) Le produit doit être utilisé conformément à l environnement d utilisation prévu dans la cible de sécurité [ST], b) La personnalisation doit être strictement définie et contrôlée ; des mesures de sécurité doivent être appliquées au cours de la personnalisation afin de pouvoir garantir l intégrité et la confidentialité des données secrètes introduites dans le produit (codes et clés secrètes), c) Le porteur doit utiliser sa carte conformément aux recommandations fournies par l émetteur, sa banque. Il est notamment le seul responsable de la protection du code PIN qui lui est fourni avec sa carte. Avril 2001 Page 17

22 5 - Recommandations d utilisation Rapport de certification 2001/09 Page 18 Avril 2001

23 Rapport de certification 2001/09 20 Chapitre 6 Certification 6.1 Objet 114 Le produit «Composant ST19SF04 masqué par l application B4/B0 V3 (référence ST19SF04AB/RVK) dont les caractéristiques de sécurité sont définies dans le chapitre 4 du présent rapport, satisfait aux exigences du niveau d évaluation E La résistance minimum des mécanismes est cotée élevée. 116 La recherche de vulnérabilités exploitables au cours de l évaluation a été définie par la quantité d informations disponibles pour le niveau E3 et par la compétence, l opportunité et les ressources correspondant à la cotation élevée de la résistance minimum des mécanismes. 6.2 Portée de la certification 117 La certification ne constitue pas en soi une recommandation du produit. Elle ne garantit pas que le produit certifié est totalement exempt de vulnérabilités exploitables : il existe une probabilité résiduelle (d autant plus faible que le niveau d évaluation est élevé) que des vulnérabilités exploitables n aient pas été découvertes. 118 Le certificat ne s applique qu à la version évaluée du produit. Avril 2001 Page 19

24 6 - Certification Rapport de certification 2001/09 Page 20 Avril 2001

25 Rapport de certification 2001/09 22 Annexe A Glossaire Biens Cible d évaluation Cibledesécurité Composant masqué Informations ou ressources à protéger par la cible d évaluation ou son environnement. Un produit ou un système et la documentation associée pour l administrateur et pour l utilisateur qui est l objet d une évaluation. Un ensemble d exigences de sécurité et de spécifications à utiliser comme base pour l évaluation d une cible d évaluation identifiée. Micro-circuit électronique avec son masque (logiciel d application) capable de stocker et de traiter des données. Encartage Insertion du composant masqué dans un support plastique, en forme de carte, incluant la phase d assemblage en micromodules et la phase d implantation du composant masqué sur son support plastique. Evaluation Masque Estimation d une cible d évaluation par rapport à des critères définis. Logiciel d application embarqué sur le micro-circuit électronique. Personnalisation Inscription des informations d identification, d authentification, et de services bancaires dans le composant masqué, sur les pistes magnétiques et sur le support plastique afin d associer chaque carte bancaire à son porteur. Porteur Client d une banque, utilisateur des services bancaires qui lui sont offerts par l intermédiaire de la carte CB. Produit Un ensemble de logiciels, microprogrammes ou matériels qui offre des fonctionnalités conçues pour être utilisées ou incorporées au sein d une multiplicité de systèmes. Avril 2001 Page 21

26 A - Glossaire Rapport de certification 2001/09 Page 22 Avril 2001

27 Rapport de certification 2001/09 24 Annexe B Références [ITSEC] Critères d évaluation de la sécurité des systèmes informatiques, version 1.2, juin [ITSEM] Manuel d évaluation de la sécurité des technologies de l information, version 1.0, septembre [JIL] ITSEC Joint Interpretation Library, version 2.0, novembre [ST] Cible de Sécurité du composant masqué B4/B0 V3, réf. DET/DS/ CBMIM1, version 1.0, GIE Cartes Bancaires. [RTE] Rapport Technique d Evaluation, réf. LETI.CESTI.MIM.RE.001, version 1.0, 19 mars 2001 (diffusion contrôlée). [UTIL] Documentation d utilisation, réf. DET/DS/CBGEN4, version 1.0, GIE Cartes Bancaires. [ADMIN] Documentation d administration, réf. DET/DS/CBGEN6, version 1.0, GIE Cartes Bancaires. [2000/12] Rapport de Certification 2000/12 «Plate-forme ST19 (technologie 0.6µ) : Micro-circuit ST19SF04ABxyz», décembre 2000, Schéma Français d Evaluation et de Certification de la Sécurité des Technologies de l Information. Avril 2001 Page 23

28 B - Références Rapport de certification 2001/09 Page 24 Avril 2001

Rapport de certification 96/02

Rapport de certification 96/02 PREMIER MINISTRE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION E3 EvaluationetCert if icationfranáaise Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de l

Plus en détail

Rapport de certification 97/04

Rapport de certification 97/04 PREMIER MINISTRE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de l Information Rapport de certification 97/04

Plus en détail

PREMIER MINISTRE PROCEDURE TECHNOLOGIES DE L'INFORMATION

PREMIER MINISTRE PROCEDURE TECHNOLOGIES DE L'INFORMATION PREMIER MINISTRE Secrétariat général de la défense nationale Paris, le 9 février 2004 000309/SGDN/DCSSI/SDR Référence : CER/P/01.1 Direction centrale de la sécurité des systèmes d information PROCEDURE

Plus en détail

PREMIER MINISTRE NOTE D APPLICATION

PREMIER MINISTRE NOTE D APPLICATION PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Paris, le 15 mai 2006 N 1083/SGDN/DCSSI/SDR Référence : NOTE/06.1 NOTE D APPLICATION

Plus en détail

Rapport de certification PP/0101

Rapport de certification PP/0101 PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de

Plus en détail

Rapport de certification PP/0002

Rapport de certification PP/0002 PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de

Plus en détail

Rapport de certification PP/9908

Rapport de certification PP/9908 PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de

Plus en détail

Rapport de certification 2002/04

Rapport de certification 2002/04 PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Schéma Français d Évaluation et de Certification de la Sécurité des Technologies

Plus en détail

Rapport de certification 2001/24

Rapport de certification 2001/24 PREMIER MINISTRE Secrétariat général de la Défense nationale Direction centrale de la sécurité des systèmes d information Schéma Français d Évaluation et de Certification de la Sécurité des Technologies

Plus en détail

NOTE D APPLICATION REUTILISATION DES COMPOSANTS D'ASSURANCE ALC. Paris, 05 mai 2015 N 1817/ANSSI/SDE/PSS/CCN Référence : ANSSI-CC-NOTE-17/1.

NOTE D APPLICATION REUTILISATION DES COMPOSANTS D'ASSURANCE ALC. Paris, 05 mai 2015 N 1817/ANSSI/SDE/PSS/CCN Référence : ANSSI-CC-NOTE-17/1. P R E M I E R M I N I S T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, 05 mai 2015 N 1817/ANSSI/SDE/PSS/CCN Référence

Plus en détail

Rapport de certification ANSSI-CSPN-2012/05. Routeur chiffrant Navista Version 2.8.0

Rapport de certification ANSSI-CSPN-2012/05. Routeur chiffrant Navista Version 2.8.0 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2012/05 Routeur chiffrant

Plus en détail

Rapport de certification ANSSI-CSPN-2012/03. Librairie ncode iwlib Java Version 2.1

Rapport de certification ANSSI-CSPN-2012/03. Librairie ncode iwlib Java Version 2.1 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2012/03 Librairie ncode

Plus en détail

Règles relatives à la qualification des produits de sécurité par la DCSSI

Règles relatives à la qualification des produits de sécurité par la DCSSI Secrétariat général de la défense nationale Paris, le 26 février 2004 N 000451/SGDN/DCSSI/SDR Direction centrale de la sécurité des systèmes d information Règles relatives à la qualification des produits

Plus en détail

Rapport de certification 2001/05

Rapport de certification 2001/05 PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE DIRECTION CENTRALE DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies

Plus en détail

Schéma canadien d évaluation et de certification selon les Critères communs (SCCC) Guide-SCCC-006 Version 1.1

Schéma canadien d évaluation et de certification selon les Critères communs (SCCC) Guide-SCCC-006 Version 1.1 6 Schéma canadien d évaluation et de certification selon les Critères communs (SCCC) Guide-SCCC-006 Version 1.1 Contrôle technique de la continuité de l assurance d une TOE certifiée Août 2005 ii Version

Plus en détail

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3. PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur

Plus en détail

Suivi des modifications

Suivi des modifications Suivi des modifications Edition Date Modifications Phase expérimentale 25 avril 2008 1.0 30 mai 2011 1.1 7 avril 2014 Première rédaction pour la phase expérimentale, diffusée sous le n 915 SGDN/DCSSI/SDR

Plus en détail

Référentiel Général de Sécurité. version 1.0. Annexe A3

Référentiel Général de Sécurité. version 1.0. Annexe A3 Premier ministre Agence nationale de la sécurité des systèmes d information Ministère du budget, des comptes publics et de la réforme de l État Direction générale de la modernisation de l État Référentiel

Plus en détail

P R E M I E R M I N I S T R E NOTE D APPLICATION. Signé : Patrick PAILLOUX

P R E M I E R M I N I S T R E NOTE D APPLICATION. Signé : Patrick PAILLOUX P R E M I E R M I N I S T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 09 juillet 2013 N 2360/ANSSI/SDE/PSS/CCN

Plus en détail

NOTE D APPLICATION METHODOLOGIE POUR L'EVALUATION LOGICIELLE D'AUTOMATES. Paris, le 30 juillet 2015 N 3127/ANSSI/SDE/PSS/CCN

NOTE D APPLICATION METHODOLOGIE POUR L'EVALUATION LOGICIELLE D'AUTOMATES. Paris, le 30 juillet 2015 N 3127/ANSSI/SDE/PSS/CCN P R E M I E R M I N I S T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 30 juillet 2015 N 3127/ANSSI/SDE/PSS/CCN

Plus en détail

Référentiel Général de Sécurité. version 1.0. Annexe A4

Référentiel Général de Sécurité. version 1.0. Annexe A4 Premier ministre Agence nationale de la sécurité des systèmes d information Ministère du budget, des comptes publics et de la réforme de l État Direction générale de la modernisation de l État Référentiel

Plus en détail

Instruction. relative à la procédure d habilitation des organismes qui procèdent à la qualification des prestataires de services de confiance

Instruction. relative à la procédure d habilitation des organismes qui procèdent à la qualification des prestataires de services de confiance PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 8 avril 2011 N 1001/ANSSI/SR NOR : PRM D 1 2 0 1 2 9

Plus en détail

Rapport de certification 2000/02

Rapport de certification 2000/02 PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de

Plus en détail

Rapport de certification ANSSI-CSPN-2011/08. Middleware IAS ECC Version 2.08 pour Windows mobile 6.1

Rapport de certification ANSSI-CSPN-2011/08. Middleware IAS ECC Version 2.08 pour Windows mobile 6.1 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2011/08 Middleware IAS

Plus en détail

Rapport de certification ANSSI-CSPN-2015/02. NEDAP AEOS Version 3.0.4

Rapport de certification ANSSI-CSPN-2015/02. NEDAP AEOS Version 3.0.4 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2015/02 NEDAP AEOS Version

Plus en détail

INSTRUCTION INTERPRETATION DU VLA.4/VAN.5 DANS LE DOMAINE DU LOGICIEL

INSTRUCTION INTERPRETATION DU VLA.4/VAN.5 DANS LE DOMAINE DU LOGICIEL PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Paris, le 23 octobre 2008 N 2411/SGDN/DCSSI/SDR Référence : VUL/I/01.1 INSTRUCTION

Plus en détail

Référentiel Général de Sécurité. version 2.0. Annexe A1

Référentiel Général de Sécurité. version 2.0. Annexe A1 Premier ministre Agence nationale de la sécurité des systèmes d information (ANSSI) Secrétariat général pour la modernisation de l action publique (SGMAP) Référentiel Général de Sécurité version 2.0 Annexe

Plus en détail

CHARTE DE L AUDIT INTERNE

CHARTE DE L AUDIT INTERNE CHARTE DE L AUDIT INTERNE Septembre 2009 Introduction La présente charte définit la mission et le rôle de l audit interne de l Institut National du Cancer (INCa) ainsi que les modalités de sa gouvernance.

Plus en détail

L application doit être validée et l infrastructure informatique doit être qualifiée.

L application doit être validée et l infrastructure informatique doit être qualifiée. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 Annexe 11: Systèmes informatisés

Plus en détail

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2011/14 Fonctionnalités

Plus en détail

L évaluation à haut niveau d assurance

L évaluation à haut niveau d assurance L évaluation à haut niveau d assurance Agréé DCSSI Vos contacts : ACCREDITATION N 1-1528 Section Laboratoires Christophe ANIER (Responsable Technique du CESTI) christophe.anier@aql.fr Christian DAMOUR

Plus en détail

PROCEDURE CERTIFICATION DE CONFORMITE DES DISPOSITIFS DE CREATION DE SIGNATURE

PROCEDURE CERTIFICATION DE CONFORMITE DES DISPOSITIFS DE CREATION DE SIGNATURE PREMIER MINISTRE Secrétariat général de la défense nationale Paris, le 7 avril 2003 872 /SGDN/DCSSI/SDR Référence : SIG/P/01.1 Direction centrale de la sécurité des systèmes d information PROCEDURE CERTIFICATION

Plus en détail

Politique de sécurité de l information. Adoptée par le Conseil d administration

Politique de sécurité de l information. Adoptée par le Conseil d administration Politique de sécurité de l information Adoptée par le Conseil d administration Le 10 novembre 2011 Table des matières PRÉAMBULE 1. GÉNÉRALITÉS... 3 2. RÔLES ET RESPONSABILITÉS... 4 3. DÉFINITIONS... 8

Plus en détail

Réguler le virtuel : Expérience des jeux en ligne

Réguler le virtuel : Expérience des jeux en ligne Réguler le virtuel : Expérience des jeux en ligne Stéphane Vaugelade Les propos de cette présentation n engagent que leur auteur Forum 2011 1 Sommaire Rappel historique Exigences du régulateur Cahier des

Plus en détail

ATTESTATION D ACCREDITATION. N 1-1061 rév. 1

ATTESTATION D ACCREDITATION. N 1-1061 rév. 1 Section Laboratoires ATTESTATION D ACCREDITATION ACCREDITATION CERTIFICATE N 1-1061 rév. 1 Le Comité Français d'accréditation (Cofrac) atteste que : The French Committee for Accreditation (Cofrac) certifies

Plus en détail

Pare-feu applicatif i-suite Version 5.5.5 révision 21873

Pare-feu applicatif i-suite Version 5.5.5 révision 21873 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Pare-feu applicatif i-suite Version 5.5.5 révision 21873

Plus en détail

Introduction à l ISO/IEC 17025:2005

Introduction à l ISO/IEC 17025:2005 Introduction à l ISO/IEC 17025:2005 Relation avec d autres normes de Management de la Qualité Formation Assurance Qualité LNCM, Rabat 27-29 Novembre 2007 Marta Miquel, EDQM-CoE 1 Histoire de l ISO/IEC

Plus en détail

DOCUMENTATION ASSOCIEE A UN PROJET LOGICIEL

DOCUMENTATION ASSOCIEE A UN PROJET LOGICIEL DOCUMENTATION ASSOCIEE A UN PROJET LOGICIEL 31 août 2004 Plate-Forme Opérationnelle de modélisation INRA ACTA ICTA http://www.modelia.org FICHE DU DOCUMENT 10 mai 04 N.Rousse - : Création : version de

Plus en détail

Conditions Générales d'utilisation - YOUSIGN SAS - SIGN2 CA

Conditions Générales d'utilisation - YOUSIGN SAS - SIGN2 CA Conditions Générales d'utilisation - YOUSIGN SAS - SIGN2 CA 1- Introduction 1.1 Présentation générale Ce document définit les Conditions Générales d Utilisation (CGU) des certificats délivrés dans le cadre

Plus en détail

Développement spécifique d'un système d information

Développement spécifique d'un système d information Centre national de la recherche scientifique Direction des systèmes d'information REFERENTIEL QUALITE Procédure Qualité Développement spécifique d'un système d information Référence : CNRS/DSI/conduite-proj/developpement/proc-developpement-si

Plus en détail

Cahier des charges des dispositifs de télétransmission des actes soumis au contrôle de légalité. Annexe 2 : sécurisation des échanges

Cahier des charges des dispositifs de télétransmission des actes soumis au contrôle de légalité. Annexe 2 : sécurisation des échanges Cahier des charges des dispositifs de télétransmission des actes Annexe 2 : sécurisation des échanges Page 2 / 7 1. OBJET DU DOCUMENT...3 2. PRINCIPES...3 3. SÉCURISATION DES DÉPÔTS DE FICHIERS SUR LES

Plus en détail

Habilitation des organismes évaluateurs pour le référencement selon l ordonnance n 2005-1516. Procédure d habilitation

Habilitation des organismes évaluateurs pour le référencement selon l ordonnance n 2005-1516. Procédure d habilitation Procédure d habilitation Version 1.1 Page 1/12 Historique des versions Date Version Évolutions du document 17/12/2010 1.0 Première version. 29/02/2012 1.1 Prise en compte de la date de la publication de

Plus en détail

Habilitation des organismes évaluateurs pour le référencement selon l ordonnance n 2005-1516. Recueil d exigences

Habilitation des organismes évaluateurs pour le référencement selon l ordonnance n 2005-1516. Recueil d exigences Recueil d exigences Version 1.1 Page 1/13 Historique des versions Date Version Évolutions du document 17/12/2010 1.01 Première version. 29/02/2012 1.1 Prise en compte de la date de la publication de l

Plus en détail

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé»

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Sommaire 1 Glossaire et abréviations... 3 1.1 Glossaire... 3 1.2 Abréviations... 3 2 Liminaire...

Plus en détail

Dématérialisation des données. Partage d expériences, Evolutions dans le domaine de l accréditation, échanges d auditeurs internes PROGRAMME

Dématérialisation des données. Partage d expériences, Evolutions dans le domaine de l accréditation, échanges d auditeurs internes PROGRAMME Les petits déjeuner du CT M Réunion n 4 du Club de Laboratoires Accrédités Dématérialisation des données Partage d expériences, Evolutions dans le domaine de l accréditation, échanges d auditeurs internes

Plus en détail

Rapport de certification ANSSI-CSPN-2012/04. CRYPT2Protect Version 8.04-03i

Rapport de certification ANSSI-CSPN-2012/04. CRYPT2Protect Version 8.04-03i PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2012/04 CRYPT2Protect

Plus en détail

Le Bureau du vérificateur général. Vérification interne des mécanismes de contrôle interne du système financier GX

Le Bureau du vérificateur général. Vérification interne des mécanismes de contrôle interne du système financier GX Préparé pour : Le Bureau du vérificateur général Vérification interne des mécanismes de contrôle interne du système financier GX Le 18 novembre 2009 1 Introduction KPMG s.r.l./s.e.n.c.r.l. a été chargée

Plus en détail

Rapport de certification ANSSI-CSPN-2010/07. KeePass Version 2.10 Portable

Rapport de certification ANSSI-CSPN-2010/07. KeePass Version 2.10 Portable PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2010/07 KeePass Version

Plus en détail

POLITIQUE DE SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC

POLITIQUE DE SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC POLITIQUE DE SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC ADOPTÉ PAR LE CONSEIL D ADMINISTRATION LE 18 JUIN 2010 / RÉSOLUTION N O 1880 Page 1 de 7 PRÉAMBULE La présente politique est adoptée par le conseil

Plus en détail

# 07 Charte de l audit interne

# 07 Charte de l audit interne Politiques et bonnes pratiques # 07 de l audit Direction générale fédérale Service Redevabilité & Qualité Janvier 2015 Approuvé par le Comité des audits Juin 2013 Approuvé par le Directoire fédéral Juillet

Plus en détail

TEMBEC INC. MANDAT DU CONSEIL D ADMINISTRATION

TEMBEC INC. MANDAT DU CONSEIL D ADMINISTRATION 1 TEMBEC INC. MANDAT DU CONSEIL D ADMINISTRATION I. INTRODUCTION A. Objet et objectifs Le Conseil d administration (le «Conseil») de la société par actions Tembec Inc. (la «Société») est responsable de

Plus en détail

Politique Cookies. Qu est-ce qu un cookie? A quoi servent les cookies émis sur notre site?

Politique Cookies. Qu est-ce qu un cookie? A quoi servent les cookies émis sur notre site? Politique Cookies Qu est-ce qu un cookie? Un cookie est un fichier texte déposé, sous réserve de vos choix, sur votre ordinateur lors de la visite d'un site ou de la consultation d'une publicité. Il a

Plus en détail

Suivi des modifications

Suivi des modifications Suivi des modifications Edition Date Modifications 1 28/10/2003 Création 2 30/08/2005 Modification des conditions d arrêt de la surveillance et de la périodicité 3 19/12/2013 Changement de dénomination

Plus en détail

BANQUE CENTRALE DE TUNISIE BANQUE CENTRALE DE TUNISIE TERMES DE REFERENCE APPEL A PROPOSITIONS INTERNATIONAL N 2009/01

BANQUE CENTRALE DE TUNISIE BANQUE CENTRALE DE TUNISIE TERMES DE REFERENCE APPEL A PROPOSITIONS INTERNATIONAL N 2009/01 BANQUE CENTRALE DE TUNISIE TERMES DE REFERENCE APPEL A PROPOSITIONS INTERNATIONAL N 2009/01 POUR LA MISE EN PLACE D'UNE POLITIQUE DE SECURITE DU SYSTEME D'INFORMATION DE LA BANQUE CENTRALE DE TUNISIE (BCT)

Plus en détail

REGLEMENT SUR LE SERVICE D AUDIT INTERNE DE LA SOCIETE ANONYME «COMPAGNIE NATIONALE «ASTAN EXPO-2017»

REGLEMENT SUR LE SERVICE D AUDIT INTERNE DE LA SOCIETE ANONYME «COMPAGNIE NATIONALE «ASTAN EXPO-2017» «Approuvé» Par la décision du Conseil des Directeurs de la SA «CN «Astana EXPO-2017» du 29 août 2013 Protocole N 6 avec des amendements introduits par la décision du Conseil des Directeurs de la SA «CN

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Symantec Security Information Manager 4.8.1 Préparé par : Le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien

Plus en détail

Les normes de sécurité informatique

Les normes de sécurité informatique Les normes de sécurité informatique BS 7799 / ISO 17799, ISO 27002, ISO 27001, BS 7799-2 Présenté par Dr. Ala Eddine Barouni Plan Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001 Normes

Plus en détail

Interprétations Validées des Règles pour la reconnaissance IATF - 3 ème édition

Interprétations Validées des Règles pour la reconnaissance IATF - 3 ème édition Interprétations Validées des Règles pour la reconnaissance IATF - 3 ème édition Les Règles pour la reconnaissance IATF - 3 ème Édition, ont été publiées en 2008. Les Interprétations Validées suivantes

Plus en détail

Cible de sécurité CSPN

Cible de sécurité CSPN Cible de sécurité CSPN ClearBUS Application cliente pour la communication sécurisée Version 1.12 Le 25/11/2011 Identifiant : CBUS-CS-1.12-20111125 contact@clearbus.fr tel : +33(0)485.029.634 Version 1.12

Plus en détail

...... (dénomination statutaire)...( 1 ) a désigné au cours de l'assemblée générale de la société du...( 2 )

...... (dénomination statutaire)...( 1 ) a désigné au cours de l'assemblée générale de la société du...( 2 ) 5112/PC/MS ANNEXE 1 À LA COMMUNICATION F.2 DÉSIGNATION D'UN COMMISSAIRE AUPRÈS D'UNE SOCIÉTÉ DE CAUTIONNEMENT MUTUEL La société de cautionnement mutuel...... (dénomination statutaire)......... (adresse

Plus en détail

Profil de protection d un logiciel d ingénierie

Profil de protection d un logiciel d ingénierie Version 1.0 moyen-terme GTCSI 11 septembre 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. 1 Descriptif

Plus en détail

Configuration de l'adresse IP du périphérique d'authentification de Xerox Secure Access Unified ID System Livre blanc

Configuration de l'adresse IP du périphérique d'authentification de Xerox Secure Access Unified ID System Livre blanc Configuration de l'adresse IP du périphérique d'authentification de Xerox Secure Access Unified ID System Copyright 2007 Xerox Corporation. Tous droits réservés. XEROX, Secure Access Unified ID System

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Trustwave AppDetectivePRO Version 8.3.1 préparé par le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma canadien d évaluation

Plus en détail

Table des matières: Guidelines Fonds de Pensions

Table des matières: Guidelines Fonds de Pensions Table des matières: Guidelines Fonds de Pensions TABLE DES MATIERES... 1 INTRODUCTION... 2 1 FINANCEMENT ET FINANCEMENT MINIMUM... 3 1.1 FINANCEMENT... 3 1.2 FINANCEMENT DE PLAN... 3 1.3 FINANCEMENT MÉTHODE

Plus en détail

Rapport de maintenance ANSSI-CC-2013/43-M01

Rapport de maintenance ANSSI-CC-2013/43-M01 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d'information Rapport de maintenance Microcontrôleurs sécurisés ST33F1MF,

Plus en détail

Récapitulatif des modifications entre les versions 2.0 et 3.0

Récapitulatif des modifications entre les versions 2.0 et 3.0 Industrie des cartes de paiement (PCI) Norme de sécurité des données d application de paiement Récapitulatif des modifications entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte

Plus en détail

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA 1 APPEL D OFFRES ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA JUILLET 2013 2 1. OBJET DE L APPEL D OFFRE Réalisation d un accompagnement

Plus en détail

PROGRAMME DES ÉPREUVES EXAMEN BTS NOTARIAT

PROGRAMME DES ÉPREUVES EXAMEN BTS NOTARIAT PROGRAMME DES ÉPREUVES EXAMEN BTS NOTARIAT www.imnrennes.fr ÉPREUVE E1 - CULTURE GÉNÉRALE ET EXPRESSION Coefficient 3 L objectif visé est de vérifier l aptitude des candidats à communiquer avec efficacité

Plus en détail

Règlement du label «Logiciel Maison et Centre de santé»

Règlement du label «Logiciel Maison et Centre de santé» Règlement du label «Logiciel Maison et Centre de santé» 1 Candidats éligibles Version n 3.0 du 15/10/2014 La procédure de labellisation est ouverte à toute personne morale propriétaire d une solution logicielle

Plus en détail

Profil de protection d une passerelle VPN industrielle

Profil de protection d une passerelle VPN industrielle Profil de protection d une passerelle industrielle Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant

Plus en détail

DIRECTIVE DU COMMISSAIRE

DIRECTIVE DU COMMISSAIRE DIRECTIVE DU COMMISSAIRE SUJET: PROCESSUS INTERNE DE RÈGLEMENT DES DIFFÉRENDS N O: DC-12 DATE DE PUBLICATION: 10 AVRIL 2013 DATE D ENTRÉE EN VIGUEUR : 2 SEPTEMBRE 2013 INTRODUCTION Le gouvernement du Canada

Plus en détail

Rapport de certification ANSSI-CSPN-2014/02. Digital DNA Corelib Version 3.2.0

Rapport de certification ANSSI-CSPN-2014/02. Digital DNA Corelib Version 3.2.0 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2014/02 Paris, le 21

Plus en détail

PREMIER MINISTRE PROCEDURE. Validée par le sous-directeur de la régulation. Pascal CHAUVE [ORIGINAL SIGNE]

PREMIER MINISTRE PROCEDURE. Validée par le sous-directeur de la régulation. Pascal CHAUVE [ORIGINAL SIGNE] PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Paris, le 25 juin 2009 N 1632 /SGDN/DCSSI Référence : AGR/P/02.1 PROCEDURE SECURITE

Plus en détail

Manuel Qualité. Toutes les activités de l ICEDD sont dans le domaine d application du référentiel ISO 9001 :2000.

Manuel Qualité. Toutes les activités de l ICEDD sont dans le domaine d application du référentiel ISO 9001 :2000. Manuel 1 Objectif Décrire brièvement l organisation du système mis en place à l ICEDD afin de démontrer le respect des exigences de la norme ISO 9001 : 2000. Accessoirement, cela peut faciliter la recherche

Plus en détail

NOTE D APPLICATION EXIGENCES DE SECURITE POUR UN CHARGEMENT DE CODE EN PHASE D'UTILISATION

NOTE D APPLICATION EXIGENCES DE SECURITE POUR UN CHARGEMENT DE CODE EN PHASE D'UTILISATION P R E M I E R M I N I S T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 23 janvier 2015 N 260/ANSSI/SDE/PSS/CCN

Plus en détail

ISO 14001: 2015. Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015

ISO 14001: 2015. Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015 ISO 14001: 2015 Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015 4115, Rue Sherbrooke Est, Suite 310, Westmount QC H3Z 1K9 T 514.481.3401 / F 514.481.4679

Plus en détail

Conditions Particulières applicables aux Contrats de Maintenance du Logiciel

Conditions Particulières applicables aux Contrats de Maintenance du Logiciel Conditions Particulières applicables aux Contrats de Maintenance du Logiciel Ref : Table des matières 1 CONDITIONS PARTICULIÈRES APPLICABLES AUX CONTRATS DE MAINTENANCE...2 1.1 Préambule...2 1.2 Obligations

Plus en détail

efficacité énergétique des grandes entreprises : audit et certification

efficacité énergétique des grandes entreprises : audit et certification efficacité énergétique des grandes entreprises : audit et certification ISO 50001 Le cadre réglementaire évolue incitant aujourd hui les Grandes Entreprises à s engager vers une meilleure efficience énergétique.

Plus en détail

PROCEDURE CERTIFICATION DE PROFILS DE PROTECTION

PROCEDURE CERTIFICATION DE PROFILS DE PROTECTION PREMIER MINISTRE Secrétariat général de la défense nationale Paris, le 19 janvier 2004 000097/SGDN/DCSSI/SDR Référence : CPP/P/01.1 Direction centrale de la sécurité des systèmes d information PROCEDURE

Plus en détail

PROCEDURE GESTION DOCUMENTAIRE

PROCEDURE GESTION DOCUMENTAIRE 1- Objet & finalité Cette procédure définit les modalités d élaboration et de gestion des documents du Système de management de la Qualité de l école. Elle a pour but : de garantir la conformité, d apporter

Plus en détail

Évolutions de la norme NF EN ISO/CEI 17020. De la version 2005 à la version 2012

Évolutions de la norme NF EN ISO/CEI 17020. De la version 2005 à la version 2012 Évolutions de la norme NF EN ISO/CEI 17020 De la version 2005 à la version 2012 Plan de la présentation L intervention sera structurée suivant les 8 chapitres de la norme. Publiée le 1 er mars 2012, homologuée

Plus en détail

Techniques de l informatique 420.AC. DEC intensif en informatique, option gestion de réseaux informatiques

Techniques de l informatique 420.AC. DEC intensif en informatique, option gestion de réseaux informatiques Plan de cours Techniques de l informatique 420.AC DEC intensif en informatique, option gestion de réseaux informatiques 420-691-MA Stage en entreprise Site du stage en entreprise : http://stages.cmaisonneuve.qc.ca/evaluation/1748/

Plus en détail

Maintenance/évolution d'un système d'information

Maintenance/évolution d'un système d'information Centre national de la recherche scientifique Direction des systèmes d'information REFERENTIEL QUALITE Procédure Qualité Maintenance/évolution d'un système d'information Référence : CNRS/DSI/conduite-projet/maintenance-evolution/presentation/proc-maintenance

Plus en détail

REVUE DE DIRECTION RICHARD MANUNU

REVUE DE DIRECTION RICHARD MANUNU REVUE DE DIRECTION 1. REFERENCES NORMATIVES Il existe de nombreuses normes et référentiels qui abordent différentes thématiques ayant des finalités spécifiques. Néanmoins, chaque norme et référentiel que

Plus en détail

Certificat d examen de type n F-06-C-1611 du 20 novembre 2006

Certificat d examen de type n F-06-C-1611 du 20 novembre 2006 Certificat d examen de type n F-06-C-1611 du 20 novembre 2006 Accréditation n 5-0012 Organisme désigné par le Ministère chargé de l Industrie par arrêté du 22 août 2001 DDC/22/G011542-D1 Dispositif de

Plus en détail

Section 8 : contrat de services professionnels

Section 8 : contrat de services professionnels Section 8 : contrat de services professionnels LE PRESENT DOCUMENT CONSTITUE LE MODELE DE CONTRAT DU PNUD FOURNI AU SOUMISSIONNAIRE POUR INFORMATION. LE RESPECT DE L ENSEMBLE DE SES CONDITIONS EST OBLIGATOIRE.

Plus en détail

DÉCLARATION ET DEMANDE D'AUTORISATION D OPÉRATIONS RELATIVES A UN MOYEN DE CRYPTOLOGIE

DÉCLARATION ET DEMANDE D'AUTORISATION D OPÉRATIONS RELATIVES A UN MOYEN DE CRYPTOLOGIE ANNEXE I DÉCLARATION ET DEMANDE D'AUTORISATION D OPÉRATIONS RELATIVES A UN MOYEN DE CRYPTOLOGIE FORMULAIRE 1 à adresser en deux exemplaires à : Agence nationale de la sécurité des systèmes d'information

Plus en détail

e)services - Guide de l utilisateur e)carpa

e)services - Guide de l utilisateur e)carpa e)services - Guide de l utilisateur e)carpa 2 Sommaire 1 Introduction 3 2 - Accès au site e)carpa 4 2.1 Identification et authentification 4 2.2 Consultation du site e)carpa 6 2.3 Mode de navigation sur

Plus en détail

COLLÈGE D'ENSEIGNEMENT GÉNÉRAL ET PROFESSIONNEL BEAUCE-APPALACHES POLITIQUE

COLLÈGE D'ENSEIGNEMENT GÉNÉRAL ET PROFESSIONNEL BEAUCE-APPALACHES POLITIQUE COLLÈGE D'ENSEIGNEMENT GÉNÉRAL ET PROFESSIONNEL BEAUCE-APPALACHES POLITIQUE DE SÉCURITÉ SUR LES TECHNOLOGIES DE L INFORMATIQUE ET DES TÉLÉCOMMUNICATIONS 1055, 116 e Rue Ville Saint-Georges (Québec) G5Y

Plus en détail

Système d'information 1er Degré

Système d'information 1er Degré RECTORAT DE L ACADEMIE DE LYON Division des Systèmes d Information Système d'information 1er Degré Référence : AC-LYON-GEXP-Si1dOtp-1-1 Rectorat de l Académie de Lyon Division des Systèmes d Information

Plus en détail

Le Dossier Médical Personnel et la sécurité

Le Dossier Médical Personnel et la sécurité FICHE PRATIQUE JUIN 2011 Le Dossier Médical Personnel et la sécurité www.dmp.gouv.fr L essentiel Un des défis majeurs pour la réussite du Dossier Médical Personnel (DMP) est de créer la confiance des utilisateurs

Plus en détail

Règlement de Certification du Label de Qualité BeCommerce pour la Vente à Distance

Règlement de Certification du Label de Qualité BeCommerce pour la Vente à Distance Règlement de Certification du Label de Qualité BeCommerce pour la Vente à Distance January 1 2013 L asbl BeCommerce a pour objectif d augmenter la confiance du consommateur dans la vente à distance online

Plus en détail

REF01 Référentiel de labellisation des laboratoires de recherche_v3

REF01 Référentiel de labellisation des laboratoires de recherche_v3 Introduction Le présent référentiel de labellisation est destiné aux laboratoires qui souhaitent mettre en place un dispositif de maîtrise de la qualité des mesures. La norme ISO 9001 contient essentiellement

Plus en détail

GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH

GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - 145-147 rue Yves Le Coz 78 000 Versailles Tél. : 01.39.24.16.66 Fax : 01.39.24.16.67

Plus en détail

COMMISSION D ACCÈS À L INFORMATION

COMMISSION D ACCÈS À L INFORMATION Siège Bureau de Montréal Bureau 1.10 Bureau 18.200 575, rue Saint-Amable 500, boulevard René-Lévesque Ouest Québec (Québec) G1R 2G4 Montréal (Québec) H2Z 1W7 Tél. : (418) 528-7741 Tél. : (514) 873-4196

Plus en détail

MANAGEMENT DE LA RADIOPROTECTION

MANAGEMENT DE LA RADIOPROTECTION Page : 1/10 MANUEL MAN-CAM-NUC-F Seule la version informatique est mise à jour, avant toute utilisation consulter sur le réseau Intranet la version en cours de ce document Page : 2/10 HISTORIQUE DE RÉVISION

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Règlement de Certification du Label de Qualité BeCommerce pour la Vente à Distance

Règlement de Certification du Label de Qualité BeCommerce pour la Vente à Distance Règlement de Certification du Label de Qualité BeCommerce pour la Vente à Distance January 1 2014 L asbl BeCommerce a pour objectif d augmenter la confiance du consommateur dans la vente à distance online

Plus en détail

RÈGLEMENT DE CERTIFICATION

RÈGLEMENT DE CERTIFICATION QSE_DOC_015 V4.0 RÈGLEMENT DE CERTIFICATION Systèmes de management Tél. : 01 41 98 09 49 - Fax : 01 41 98 09 48 certification@socotec.com Sommaire Introduction 1. Déroulé d une prestation de certification

Plus en détail

Évaluation et Certification Carlos MARTIN Responsable du Centre de Certification de la Sécurité des Technologies de l Information

Évaluation et Certification Carlos MARTIN Responsable du Centre de Certification de la Sécurité des Technologies de l Information Évaluation et Certification Carlos MARTIN Responsable du Centre de Certification de la Sécurité des Technologies de l Information Organisme de certification Comité directeur de la certification des T.I.

Plus en détail