Mise à jour de la Certification des critères communs (ISO15408)

Transcription

1 Mise à jour de la Certification des critères communs (ISO15408) Novembre 2012 Résumé Ce document est destiné à epliquer le but et les objectifs de la Certification des critères communs. Il couvre la direction globale du processus de certification, ainsi que les spécificités associées à la certification de dispositifs multifonctions dans un environnement de certification qui s éloigne des Niveau d assurance d évaluation (EAL - Evaluation Assurance Level). Table des matières Résumé Table des matières Liste des abréviations Historique des Critères communs À propos de l Accord de reconnaissance des critères communs (CCRA - Common Criteria Recognition Agreement) Méthodes de certification des critères communs Profil de protection pour appareil d impression (IEEE2600) Lettre de stratégie CCEVS NIAP #20 Lettre de stratégie CCEVS NIAP #9 Eigences de validation en matière de cryptographie FIPS Modifications futures des Critères communs Nouvelle déclaration de mission du CCMC Enfin une vision claire du futur Développement de cpp avec des communautés techniques Conclusion

2 Liste des abréviations CCDB Common Criteria Development Board (Conseil de développement des critères communs ) CCMC Common Criteria Management Committee (Comité de gestion des critères communs) CCRA Common Criteria Recognition Agreement (Accord de reconnaissance des critères communs) CCUF Common Criteria Users Forum (Forum des utilisateurs des critères communs) cpp Collaborative Protection Profile (Profil de protection collaboratif) EAL Evaluation Assurance Level (Niveau d assurance d évaluation) FIPS Federal Information Processing Standard (Norme fédérale de traitement des informations) ICCC International Common Criteria Conference (Conférence internationale sur les critères communs) IPA Information-technology Promotion Agency (Agence de promotion des technologies de l information) MFD-PP Multifunction Device Protection Profile (Profil de protection pour appareil d impression) NIAP National Information Assurance Partnership (Partenariat national d assurance de l information) PP Protection Profile (Profil de protection) PWG Printer Working Group (Groupe de travail d imprimante) SFR Security Functional Requirement (Eigence fonctionnelle de sécurité) SOHO Small Office/Home Office (Très petite entreprise/profession libérale) ST Security Target (Cible de sécurité) TC Technical Community (Communauté technique) USB Universal Serial Bus Historique des Critères communs À propos de l Accord de reconnaissance des critères communs (CCRA - Common Criteria Recognition Agreement) Le programme de Critères communs constitue un cadre permettant de fournir une validation de la fonctionnalité de sécurité d un système informatique. En eécutant une série de tests rigoureu et pouvant être répétés, le cadre fournit au pays participants l assurance que le produit répond au critères fonctionnels de sécurité convenus au niveau international. En répondant au eigences définies dans le cadre des Critères communs, un produit évalué par une nation est considéré comme bénéficiant d une évaluation valide par toutes les autres nations qui ont signé l Accord de reconnaissance des critères communs (CCRA - Common Criteria Recognition Agreement). Cela peut, en pratique, résulter en des eigences d approvisionnement communes pour les gouvernements faisant partie du CCRA. Accord de reconnaissance des critères communs (CCRA - Common Criteria Recognition Agreement) Comité de gestion des critères communs (CCMC - Common Criteria Management Committee) Les 26 nations reconnaissant ISO15408 Le CCRA définit deu groupes de surveillance : le CCMC et le CCDB. Le CCMC se compose de représentants des 26 nations qui ont signé le CCRA. Le CCDB se compose de toutes les nations qui sont autorisées à émettre des certificats de validation. Conseil de développement des critères communs (CCDB - Common Criteria Development Board) 16 nations émettant des certificats

3 Méthodes de certification des critères communs Le CCRA a défini à l origine deu méthodes permettant de valider les fonctionnalités de sécurité sur un appareil : une ST ou un PP peuvent constituer un support de validation des fonctionnalités de sécurité. Une ST définit un ensemble d aptitudes de sécurité permettant l évaluation d un dispositif. Seules les aptitudes de sécurité définies dans la ST constitueront le support de validation du dispositif. Ni plus, ni moins. Un PP définit les menaces de sécurité, une fonctionnalité de sécurité permettant de contrer ces menaces, ainsi que le test d assurance pour une catégorie de dispositifs de sécurité. Lorsqu un dispositif est certifié sur base d un PP, une ST correspondante est développée avec des détails spécifiques de la fonctionnalité de sécurité dans le dispositif par le PP et toute augmentation de la fonctionnalité définie par le PP ; cela signifie qu un vendeur peut choisir de valider des fonctionnalités de sécurité supplémentaires autres que celles définies dans un PP. Le CCRA a défini à l origine quatre niveau d assurance d évaluation (EAL) reconnus mutuellement pour une validation de la ST et du PP comme supports de certification pour les produits commerciau. Les EAL définissent la rigueur du test qui doit être effectué sur la fonctionnalité de sécurité définie dans la ST. Il est important de noter qu un EAL ne définit pas les fonctions de sécurité dans une évaluation. Par eemple, il est possible de certifier un produit à un niveau EAL4 pour lequel aucune fonctionnalité de sécurité n est définie dans sa ST. C est la raison pour laquelle des validations sur base d un PP sont considérées comme plus bénéfiques, puisque les eigences d assurance, les fonctions et les menaces de sécurité sont définies pour une technologie spécifique. Profil de protection pour appareil d impression (IEEE2600) Dès 2003, l industrie de l impression a constaté des inégalités dans les validations effectuées par divers fabricants d imprimantes. Certaines validations de dispositifs d impression valideraient une seule fonctionnalité de sécurité d un dispositif, tandis que d autres valideraient beaucoup plus de fonctionnalités du dispositif. Cela a donné lieu à l émission de certificats qui ne validaient pas vraiment la sécurité totale d un dispositif. Pour plus de clarté pour les clients, Lemark, en collaboration avec d autres leaders de l industrie de l impression, a initié un projet dans le cadre de l IEEE Standards Association afin d établir un ensemble de normes destinées au dispositifs d impression et qui définiraient les menaces et fonctionnalités de sécurité nécessaires pour protéger les données d une tâche d un utilisateur, l accès au fonctions utilisateur/administration sur l appareil et pour fournir un enregistrement d audit de tout accès à l appareil. L IEEE Standards Association a été choisie comme forum pour cet effort afin de garantir que le travail deviendrait une norme industrielle reconnue. Les efforts de l IEEE ont débouché sur à cinq normes IEEE : une norme IEEE 2600 de base qui peut être utilisée par les vendeurs qui ne souhaitent pas utiliser le processus d évaluation des Critères communs et quatre PP des Critères communs s adressant à quatre environnements opérationnels indépendants comme répertoriés ci-dessous : A = Environnement de sécurité très restrictif B = Environnement d entreprise général C = Environnement public (kiosque, bibliothèque, etc.) D = Environnement Très petite entreprise/profession libérale (SOHO)

4 L Environnement opérationnel A (IEEE2600.1) et l Environnement opérationnel B (IEEE2600.2) sont les plus intéressants. Ce dernier, le IEEE2600.2, est un PP validé EAL2 qui inclut une protection des données des documents de l utilisateur au repos, des fonctions administratives et un audit des changements de configuration sur l appareil. IEEE est un PP validé EAL3 qui inclut une protection des données de documents de l utilisateur en transit et au repos, en plus des données fonctionnelles de l utilisateur, des fonctions administratives et de l audit des tâches de l utilisateur et des changements de configuration sur l appareil. La différence la plus significative entre EAL3 et EAL2 au niveau du test d assurance est qu EAL3 requiert le test complet de chaque fonctionnalité de sécurité concernant l utilisateur, y compris toute erreur. EAL2 requiert que chaque fonctionnalité de sécurité concernant l utilisateur soit testée, non pour toutes les erreurs possibles, mais uniquement pour des conditions sélectionnées de façon aléatoire. Lemark a obtenu une validation IEEE le 3 février 2011, pour les imprimantes multifonctions Lemark X463, X464, X466, X651, X652, X654, X656, X658, X734, X736, X738, X860, X862 et X864. Lettre de stratégie CCEVS NIAP #20 En 2009, le NIAP a émis une vaste politique mentionnant qu il ne certifierait plus aucun équipement commercial au-delà de EAL2. L opinion de NIAP est que des PP devraient être développés pour toute technologie devant être certifiée et qu un PP devrait être spécifique à une technologie afin de cibler les menaces de sécurité applicables pour cette technologie. Outre cette nouvelle stratégie, le NIAP a également émis la Lettre de stratégie #20, qui stipule qu il n autorise plus validations d appareils d impression à EAL3 à l aide de IEEE À la place, toutes les validations doivent être effectuées à l aide de IEEE2600.2, mais avec des eigences augmentées (comme définies dans la Lettre de stratégie #20) relative à la protection des données de document de l utilisateur au repos et en transit. Le tableau ci-dessous illustre la priorité mise sur les eigences fonctionnelles en matière de sécurité de IEEE2600 et de la Lettre de stratégie #20 émise par le NIAP. Eigence de sécurité fonctionnelle Tous les utilisateurs sont authentifiés et autorisés Les administrateurs autorisent les utilisateurs à utiliser le périphérique Les données de document au repos sont protégées Les données de document en transit sont protégées Les données de fonction au repos sont protégées Les données de fonction en transit sont protégées Les données de configuration sont protégées Les événements relatifs à la sécurité sont consignés* IEEE IEEE Lettre de stratégie #20 * Bien que la Lettre de stratégie #20 de NIAP ne requière pas l enregistrement d événements, les produits Lemark continuent à prendre en charge l enregistrement d événements avec une fonctionnalité qui dépasse les eigences du PP IEEE Lemark a obtenu une validation IEEE via la Lettre de stratégie #20 le 29 mai 2012 pour les imprimantes multifonctions Lemark X548, XS548, X792, XS796, X925, XS925, X950, X952, X954, XS955 et le scanner Lemark 6500e configuré avec une imprimante T650, T652, T654 ou T656.

5 Lettre de stratégie CCEVS NIAP #9 Eigences de validation en matière de cryptographie FIPS À l époque à laquelle le NIAP a émis la Lettre de stratégie #20, il a également émis la Lettre de stratégie #9 eigeant que toute cryptographie utilisée pour des fonctionnalités de sécurité requises dans la ST soient validées FIPS ou qu un processus d évaluation cryptographique pratiquement équivalent soit effectué par le laboratoire de certification sur l appareil. FIPS est un programme d assurance du gouvernement des États-Unis qui accrédite l utilisation adéquate de la cryptographie dans un appareil. La validation de la cryptographie FIPS présente des eigences très spécifiques pour les algorithmes cryptographiques utilisés sur un appareil, relatives à leur configuration et à la prise en charge d une infrastructure de test automatique dans l appareil afin de garantir que les algorithmes continuent à fonctionner correctement. Le NIAP a depuis lors annulé sa Lettre de stratégie #9, mais elle continue à être appliquée de façon informelle à toutes les validations de schéma NIAP. Pour prendre en charge cette eigence, Lemark a également obtenu des validations de l algorithme FIPS sur les produits Lemark qui ont été validés le 29 mai 2012 (voir section précédente), afin d offrir une assurance renforcée de la sécurité des données de l utilisateur en transit et au repos sur ces appareils. Modifications futures des Critères communs Nouvelle déclaration de mission du CCMC Le 18 septembre 2012 à ICCC2012, le CCMC a publié une nouvelle déclaration de mission pour le CCRA. Dans cette déclaration, le CCMC a affirmé que la reconnaissance mutuelle de certificats serait uniquement disponible dans le cadre de validations reposant sur des profils de protection collaboratifs (cpp) et sur des cibles de sécurité (ST) évaluées à EAL2 si un cpp n est pas applicable. Ces profils seront développés en unissant les efforts de schémas nationau, de laboratoires de certification, de communautés techniques et d utilisateurs finau qui sont des eperts de la technologie ; de tels profils seront développés en gardant à l esprit les eigences en matière d approvisionnement et les menaces de sécurité actuelles. Les cpp définiront des eigences d assurance et fonctionnelles en matière de sécurité qui mèneront à des résultats d évaluation raisonnables, comparables, reproductibles et rentables. Ces nouveau cpp ne seront pas associés à un niveau d assurance d évaluation (EAL), ils se composeront plutôt des eigences de sécurité et du test d assurance nécessaires que les eperts de la communauté technique auront jugés appropriés. En outre, les cpp seront développés en bénéficiant de conseils internationau émis par le CCDB (Common Criteria Development Board) et seront mutuellement reconnus par tous les pays adhérents au CCRA. Accord de reconnaissance des critères communs (CCRA - Common Criteria Recognition Agreement) Comité de gestion des critères communs (CCMC - Common Criteria Management Committee) Les 26 nations reconnaissant ISO15408 Conseil de développement des critères communs (CCDB - Common Criteria Development Board) 16 nations émettant des certificats CCUF (Forum des utilisateurs des critères communs) Depuis 2012, le CCUF est la communauté technique officiellement reconnue du CCDB. Lemark est membre du CCUF et participe au développement d un nouveau profil de protection collaboratif multifonction (cpp).

6 Enfin une vision claire du futur Le développement de Profils de protection collaboratifs (cpp) mutuellement reconnus est une bonne nouvelle étant donné que les événements récents au sein de divers schémas de certification nationau ont commencé à faire éclater la reconnaissance des certificats de validation. Le schéma des États-Unis, en particulier, qui est eécuté par le NIAP (National Information Assurance Partnership), a argumenté que le gouvernement ne devrait plus intervenir dans la détermination de profils de protection, en raison de son manque d epertise technologique approfondie. En outre, il considère que le test d assurance EAL varie trop entre les schémas et que le test de niveau d assurance n est pas suffisamment bien conçu pour les menaces spécifiques à une technologie donnée. Par conséquent, le NIAP considère que les eperts de l industrie devraient définir des eigences de sécurité et qu ils ne devraient en outre pas être augmentés, car la communauté technique ne reconnaît actuellement pas la fonctionnalité ajoutée comme une menace active contre la technologie. En outre, une nouvelle fonctionnalité serait difficile à tester d une façon qui fournisse l assurance renouvelée de la sécurité d un appareil donné. Jusqu à récemment, l opinion du NIAP n avait pas été reconnue par les pays qui continuent à prendre en charge le test traditionnel des EAL des PP. Développement de cpp avec des communautés techniques Le Common Criteria Development Board (CCDB) collabore avec la communauté de certification USB pour créer le premier profil de protection collaboratif (cpp): un PP de clé USB. La communauté de certification USB fait office de communauté technique pilote dans le cadre de cet effort. Le CCDB a affirmé qu il ne reconnaîtra aucune autre communauté technique avant définition du processus, création des directives/de la mission de la communauté technique et développement fructueu de ce premier cpp. Entretemps, le NIAP a déjà débuté la création de PP avec l aide de diverses communautés techniques. Le premier PP développé sans eigences au niveau du EAL était le PP pour appareil réseau. En outre, le NIAP a lancé une communauté technique avec l Agence japonaise de promotion des technologies de l information (IPA-Japan Scheme) pour développer conjointement un profil de protection pour dispositifs multifonctions (MFD-PP). Le nouveau MFD-PP remplacera le IEEE2600 MFD-PP eistant. Lemark est membre de cette communauté technique et participe au développement d un MFD-PP. Une fois le cpp de clé USB terminé, d autres communautés techniques, comme la communauté technique MFD, pourront poser leur candidature au statut de communauté technique auprès du CCDB. Une fois la communauté technique MFD reconnue comme Communauté technique de critères communs, le MFD-PP sera modifié afin d être conforme au processus, directives et mission définis par le CCDB, créant par conséquent un cpp pour les dispositifs multifonctions qui serait reconnus par tous les pays adhérents au CCRA.

7 Conclusion À première vue, la direction prise par la nouvelle déclaration de mission de l Accord de reconnaissance des critères communs (CCRA) semble être bénéfique au clients et au vendeurs tels que Lemark. Dès que le NIAP, l IPA et les eperts de l industrie établiront un nouveau profil de protection pour dispositifs multifonctions (MFD-PP), les modifications du processus de Critères communs devraient fournir au clients l assurance qu un dispositif certifié offre une fonctionnalité de sécurité essentielle pour protéger leurs informations, qu elles soient stockées sur l appareil ou en transit. Lemark a bon espoir que la transition vers un cpp accélère le temps de certification et réduise les coûts des évaluations, tout en fournissant une reconnaissance mutuelle de certification à travers tous les schémas. Une fois le MFD-PP terminé et reconnu par le CCRA, Lemark poursuivra la certification de ses appareils à l aide de ce PP. Copyright 2012 Lemark International, Inc. Tous droits réservés. Lemark se réserve le droit de modifier les spécifications ou d autres informations sur les produits sans préavis. Les références à des produits, des programmes ou des services mentionnées dans cette brochure n impliquent nullement la disponibilité de ces produits ou services dans tous les pays où Lemark est présent. LEXMARK INTERNATIONAL, INC. FOURNIT CETTE PUBLICATION «EN L ETAT», SANS GARANTIE D AUCUNE SORTE, EXPLICITE OU IMPLICITE, ET SANS GARANTIES IMPLICITES DE QUALITE MARCHANDE OU DE CONFORMITE A UN USAGE SPECIFIQUE. Cette publication peut comporter des informations tierces ou des liens vers des sites Web tiers qui ne sont pas sous le contrôle de Lemark. L accès à de tels informations ou sites Web tiers est au risques de l utilisateur et Lemark n est pas responsable de la précision ou de la fiabilité des informations, données, conseils ou affirmations émanant de ces tiers. Lemark fournit ces informations et liens à des fins purement pratiques et l inclusion de tels liens et/ou informations n implique aucune approbation. Toutes les informations relatives au performances ont été déterminées dans un environnement contrôlé. Les résultats peuvent varier. Les informations relatives au performances sont fournies «EN l ÉTAT» et aucune garantie n est eprimée de manière eplicite ou implicite par Lemark. Les clients doivent consulter d autres sources d informations, y compris des comparatifs, pour évaluer les performances de la solution qu ils envisagent d acheter.