Règles relatives à la qualification des produits de sécurité par la DCSSI



Documents pareils
PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

Rapport de certification PP/0101

Rapport de certification PP/0002

Politique de Référencement Intersectorielle de Sécurité (PRIS)

PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION

MEMENTO Version

Rapport de certification ANSSI-CSPN-2010/07. KeePass Version 2.10 Portable

AVANT-PROJET DE RÈGLEMENT PORTANT SUR L INSCRIPTION ET COMMENTAIRES

PROCEDURE DE CERTIFICATION IIW MCS SELON EN ISO 3834

LA SIGNATURE ELECTRONIQUE

Rapport de certification

Référentiel Général de Sécurité

Rapport de certification

SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES

certification Notice technique la certification professionnelle du ministère chargé de l emploi notice technique

Rapport de certification PP/0308. Profil de protection «Cryptographic Module for CSP Signing Operations with Backup» Version 0.28

DÉCLARATION ET DEMANDE D'AUTORISATION D OPÉRATIONS RELATIVES A UN MOYEN DE CRYPTOLOGIE

RÈGLES DE CERTIFICATION D ENTREPRISE

Évaluation et Certification Carlos MARTIN Responsable du Centre de Certification de la Sécurité des Technologies de l Information

COMMUNIQUER EN CONFIANCE

Rapport de certification

Rapport de certification

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Récapitulatif des modifications entre les versions 2.0 et 3.0

Rapport de certification DCSSI-2008/38. ExaProtect Security Management Solution (SMS)

INSTRUCTION GÉNÉRALE INTERMINISTÉRIELLE N 1300 SUR LA PROTECTION DU SECRET DE LA DÉFENSE NATIONALE

REGLES D ATTRIBUTION ET DE SUIVI DE LA CERTIFICATION AMIANTE 1552

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

Rapport de certification

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES

Charte d audit du groupe Dexia

Introduction à ITIL. Un guide d'initiation à ITIL. Tana Guindeba, ing. jr Mars Guintech Informatique. Passer à la première page

Rapport de certification

Décret n XXX du XX relatif aux effacements de consommation d électricité

Les perspectives de la maintenance de l assurance sécurité

Marquage CE des Granulats

CERTIFICATION CERTIPHYTO

Signature électronique. Romain Kolb 31/10/2008

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA

CONTROLE GÉNÉRAL ÉCONOMIQUE ET FINANCIER

Conditions Générales d Intervention du CSTB pour la délivrance d une HOMOLOGATION COUVERTURE

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Rapport de certification

Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Rapport de certification

POLITIQUE DE GESTION DES DOCUMENTS ET DES ARCHIVES DE TÉLÉ-QUÉBEC

PROGRAMMES D ENTRETIEN

NORME 5 NORMES ET PROCÉDURE D AUTO-ACCRÉDITATION

Obtenir le titre de prêteur. agréé. La clé qui ouvre de nouvelles portes AU CŒUR DE L HABITATION

FEDERATION DE RUSSIE Certification GOST R INTRODUCTION OBJECTIFS PRINCIPAUX DE LA CERTIFICATION GOST R CERTIFCAT DE CONFORMITE GOST R

Premier ministre. Agence nationale de la sécurité des systèmes d information. Prestataires d audit de la sécurité des systèmes d information

Rapport de certification

la certification professionnelle du ministère chargé de l emploi Notice technique pour l organisation et la mise en œuvre des sessions de validation

Gestion des clés cryptographiques

CADRE D AGRÉMENT APPROCHE STANDARD DU RISQUE OPÉRATIONNEL

Ordonnance du SEFRI sur la formation professionnelle initiale

ET LA DÉLIVRANCE DU CERTIFICAT

Rapport de certification

Ordonnance sur la formation professionnelle initiale

REGLEMENT DE CERTIFICATION

CHARTE INFORMATIQUE LGL

Rapport de certification

Rapport de certification ANSSI-CC-2013/17. Suite logicielle IPS-Firewall pour boîtiers NETASQ, version

Conformité aux exigences de la réglementation "21 CFR Part 11" de la FDA

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

L application doit être validée et l infrastructure informatique doit être qualifiée.

Méthodologie d Ouverture, de Dépouillement et d Evaluation des Offres Relatives à la Consultation 09 S V.E.De.R

SECTION 2 DÉFINITIONS

MINISTÈRE DE LA DÉFENSE SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION

La législation est très stricte sur la sécurité des portes automatiques d où un grand nombre de normes et de règlementations.

Panorama général des normes et outils d audit. François VERGEZ AFAI

Système de management H.A.C.C.P.

Organisme Notifié N 1826 REFERENTIEL POUR LA CERTIFICATION DE CONFORMITE CE DES PLOTS RETROREFLECHISSANTS

Rapport de certification

Rapport de certification

PASSI Un label d exigence et de confiance?

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Vu la directive 2004/49/CE du Parlement européen et du Conseil du 29 avril 2004 concernant la sécurité des chemins de fer communautaires modifiée ;

Guide de la pratique sur les réserves aux traités 2011

POLITIQUE ET LIGNES DIRECTRICES EN MATIERE DE TRACABILITE DES RESULTATS DE MESURE

FICHE EXPLICATIVE Système de management de l Énergie (SMÉ)

Règlement pour les fournisseurs de SuisseID

Pré qualification d entreprises de Génie Civil

La politique de sécurité

Guide de travail pour l auto-évaluation:

CENTRES D APPUI À LA TECHNOLOGIE ET À L INNOVATION (CATI) GUIDE DE MISE EN ŒUVRE

Date : 16 novembre 2011 Version : 1. 2 Nombre de pages : 13

Charte de l'audit informatique du Groupe

ISO/CEI Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences

NAVIGABILITE et CERTIFICATION. des avions étatiques. RACAM 4-8 juin 2010

PROCÉDURE D'APPEL D'OFFRES ET D'OCTROI POUR LES ACHATS D'ÉLECTRICITÉ

Rapport de certification ANSSI-CC-2012/47. EJBCA, version 5.0.4

Politique de sécurité de l information

curité des TI : Comment accroître votre niveau de curité

Transcription:

Secrétariat général de la défense nationale Paris, le 26 février 2004 N 000451/SGDN/DCSSI/SDR Direction centrale de la sécurité des systèmes d information Règles relatives à la qualification des produits de sécurité par la DCSSI Version 1.1 51 boulevard de La Tour-Maubourg - 75700 PARIS 07 SP

Sommaire 1 INTRODUCTION... 3 2 DOCUMENTATION DE REFERENCE... 4 3 DEFINITIONS... 5 3.1 QUALIFICATION... 5 3.2 EVALUATION... 5 3.3 CERTIFICATION... 5 3.4 AGREMENT... 5 3.5 CAUTION DES MOYENS DE CRYPTOLOGIE... 6 3.6 HOMOLOGATION... 6 4 PROCESSUS DE DELIVRANCE D UNE QUALIFICATION... 7 4.1 INTRODUCTION... 7 4.2 VALIDATION DE LA CIBLE DE SECURITE... 7 4.3 EVALUATION DU PRODUIT... 7 4.4 QUALIFICATION DU PRODUIT... 8 4.5 VALIDITE DE LA QUALIFICATION... 8 4.6 CARACTERISTIQUES DE LA QUALIFICATION AU NIVEAU STANDARD... 8 4.7 CARACTERISTIQUES DE LA QUALIFICATION AU NIVEAU RENFORCE ET ELEVE... 9 5 REGLES D EMPLOI DES PRODUITS QUALIFIES... 10 6 RELATIONS ENTRE LA QUALIFICATION, LA CAUTION ET L AGREMENT DES PRODUITS DE SECURITE... 11 6.1 INTRODUCTION... 11 6.2 DELIVRANCE DES AGREMENTS POUR LES PRODUITS... 11 6.3 DELIVRANCE DES CAUTIONS POUR LES PRODUITS CRYPTOGRAPHIQUES... 12 ANNEXE A : REGLE DE FIGURATION DES PRODUITS DANS LES CATALOGUES DE PRODUITS... 13 ANNEXE B : UTILISATION DE LA MARQUE "CERTIFICATION SECURITE TI"... 14

1 Introduction Le déploiement de solutions de sécurisation des systèmes d information s appuie, en complément des mesures organisationnelles, sur la mise en œuvre de fonctions techniques logicielles et matérielles, fournies dans de nombreux cas par des produits de sécurité. L évaluation des fonctions de sécurité mises en œuvre par un produit de sécurité est indispensable pour acquérir l assurance que le produit de sécurité peut contribuer à la sécurisation des systèmes d information. Cette évaluation, si elle est réussie, peut donner lieu à la délivrance d une attestation formelle de la sécurité offerte par le produit. Les travaux de révision de la doctrine ont montré la nécessité d améliorer les attestations de sécurité délivrées aujourd hui par la DCSSI (agrément, caution) sur la base des textes réglementaires actuels (IGI900, R901). Ce constat a conduit à définir la notion nouvelle de qualification des produits qui est une attestation de la robustesse des services de sécurité offerts par un produit. Par rapport aux agréments et aux cautions, la qualification des produits permet : a) de séparer l appréciation technique de la qualité d un produit de l appréciation plus large de son aptitude, dans des conditions données (qui peuvent aussi être conjoncturelles), à protéger des informations plus ou moins sensibles ; b) de reconnaître qu un même produit (donc d une robustesse donnée) peut, selon les conditions d emploi, permettre la protection d information de niveaux différents (donc peut par exemple obtenir différents niveaux d agrément) ; c) d étendre les attestations délivrées par la DCSSI à la protection des informations sensibles non classifiées de défense (ex : CONFIDENTIEL DIPLOMATIE), en s appuyant sur les mêmes critères de qualification ; d) de répondre aux besoins de confiance dans les produits exprimés par d autres communautés non étatiques (ex : CONFIDENTIEL INDUSTRIE), et donc d exploiter les référentiels de qualification de manière élargie, en offrant aux industriels fabricants de produits concernés un marché élargi. De plus la qualification des produits est définie de façon : e) à permettre l achat de produits qualifiés dans le cadre des règles d achats publics ; f) à s appuyer sur des règles et référentiels techniques connus des industriels et des maîtrises d ouvrage. Ce document précise les règles applicables à la qualification des produits de sécurité par la DCSSI. Dans le cadre réglementaire actuel, il précise l articulation entre la qualification des produits par la DCSSI et l agrément ou la caution des produits de sécurité requis au titre des instructions IGI900 et R901. 3

2 Documentation de référence [DOCTRINE] : rapport du groupe doctrine de la CISSI, n 1503/SGDN/DCSSI/DA/E/DR du 19 juillet 2002. [IGI1300] : Instruction générale interministérielle sur la protection du secret de la défense nationale, arrêté du 25 août 2003 (PRMX0306803A). [IGI900] : Instruction générale interministérielle sur la sécurité des systèmes d'information qui font l'objet d'une classification de défense pour eux-mêmes ou pour les informations traitées, IGI nº900/sgdn/ssd/dr ou IGI nº900/dissi/scssi/dr du 20 juillet 1993. [R901] : Recommandation pour la protection des systèmes d'information traitant des informations sensibles non classifiées de défense, nº901/sgdn/dissi/scssi du 02 mars 1994 [IS 15408]: Information technology - Security techniques Evaluation criteria for IT security [Décret 2002-535] : Décret relatif à l évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l information, décret N 2002-535 du 18 avril 2002. [Processus standard] : Processus de qualification d un produit de sécurité niveau standard version v1.0, N 1591/SGDN/DCSSI/SDR du 28/7/3. [Processus d agrément] : Processus d agrément des produits de sécurité à usage gouvernemental, N 1047/SGDN/DCSSI/SDR du 16 mai 2003 4

3 Définitions 3.1 Qualification La qualification d un produit atteste de la robustesse des services de sécurité du produit. Elle est basée sur : 1. la vérification de la conformité du produit aux caractéristiques de sécurité spécifiées dans une cible de sécurité, sur la base d une évaluation réalisée par un ou des laboratoires agréés par la DCSSI. 2. l approbation par la DCSSI de la pertinence de la cible de sécurité au regard de l emploi prévu du produit et du niveau de qualification demandé. Les spécifications attendues d un produit et le besoin de profondeur de son évaluation étant éminemment variables selon la valeur des informations et des systèmes à protéger par le produit et selon le niveau de menace auquel on demande au produit de faire face, la DCSSI a établi une échelle hiérarchique comportant trois niveaux de qualification des produits (du plus résistant au moins résistant) : Elevé Renforcé Standard La qualification est une notion nouvelle, issue de la doctrine. 3.2 Evaluation L'évaluation consiste à vérifier qu un produit de sécurité remplit les caractéristiques de sécurité définies dans une cible de sécurité. Pour la qualification, elle est menée par des laboratoires d évaluation agréés par la DCSSI. 3.3 Certification La certification, conformément au décret n 2002-535 du 18 avril 2002, atteste que l'exemplaire du produit ou du système soumis à évaluation répond aux caractéristiques de sécurité spécifiées dans la cible de sécurité. Elle atteste également que l'évaluation a été conduite conformément aux règles et normes en vigueur, avec la compétence et l'impartialité requises. 3.4 Agrément L agrément d un produit est la reconnaissance formelle que le produit ou système évalué peut protéger des informations jusqu'à un niveau spécifié (exemple : CONFIDENTIEL DEFENSE) dans les conditions d'emploi définies. L agrément est une notion réglementaire, issue de [IGI1300] et de [IGI900]. 5

3.5 Caution des moyens de cryptologie La caution d un moyen de cryptologie atteste de l aptitude du moyen de cryptologie à protéger la transmission ou le stockage d informations sensibles non classifiées de défense. L autorité d homologation doit s assurer de l adéquation du produit cautionné à ses besoins de sécurité. La caution est une notion réglementaire issue de la recommandation [R901] qui impose que les moyens de cryptologie utilisés pour la protection des informations sensibles non classifiées de défense aient reçu une caution de la DCSSI. 3.6 Homologation L homologation permet d attester de l aptitude d un système d information à protéger des informations jusqu'à un niveau spécifié dans des conditions d'emploi définies. L autorité d homologation doit s assurer de l adéquation des produits de sécurité avec ses besoins de sécurité. L homologation est une notion réglementaire, issue de [IGI1300], de [IGI900]. 6

4 Processus de délivrance d une qualification 4.1 Introduction Quel que soit le niveau de qualification visé, le processus de délivrance d une qualification suit la même démarche : 1. analyse et validation de la pertinence de la cible de sécurité par la DCSSI 2. évaluation du produit 3. qualification du produit 4. surveillance de la qualification 4.2 Validation de la cible de sécurité Cette étape a pour objectif de contrôler l adéquation de la cible de sécurité avec le niveau d exigences attendu par la DCSSI vis-à-vis de l emploi présumé du produit et du niveau de qualification visé. La cible de sécurité précise les menaces retenues, les objectifs de sécurité visés, le périmètre des fonctions évaluées, la résistance attendue de ces fonctions et la profondeur de l évaluation. 4.3 Evaluation du produit L'objectif de l'évaluation est d'acquérir un certain niveau de confiance dans le fait que le produit ou le système à évaluer présente les caractéristiques de sécurité annoncées dans la cible de sécurité. L'évaluation est conduite sous la responsabilité d un ou de plusieurs centres d évaluation agréés par la DCSSI. L évaluation en vue de la qualification peut être réalisée : - soit dans le cadre du schéma d évaluation et de certification de la sécurité offerte par les produits et technologies de l information, tel que défini dans le décret 2002-535 du 18 avril 2002, auquel cas elle donne lieu à la délivrance par la DCSSI d un certificat [Décret 2002-535] ; - soit dans le cadre du schéma d évaluation mis en place pour l agrément des produits destinés à la protection des informations classifiées de défense. Ce schéma s appuie sur les centres d évaluation du CELAR (pour l évaluation des matériels, logiciels et la protection contre les signaux compromettants) et de la DCSSI (pour l évaluation des algorithmes cryptographiques et la protection contre les signaux compromettants). Ce schéma est décrit dans la note [Processus d agrément]. Dans les deux cas, au terme de l'évaluation, le ou les centres d évaluation adressent un Rapport Technique d'evaluation (RTE) à la DCSSI. Le RTE décrit les travaux effectués lors de l évaluation et expose les résultats obtenus. Il peut inclure des recommandations pour la mise en œuvre de mesures particulières pour limiter l impact des vulnérabilités identifiées. 7

Sur la base des RTE, la DCSSI approuve les résultats de l évaluation. Cette approbation est une confirmation indépendante qui atteste de la complétude de l évaluation et du respect des normes et règles en vigueur. 4.4 Qualification du produit Suite à l approbation des résultats d évaluation, la DCSSI instruit la qualification du produit de sécurité au niveau demandé : elle s assure que les recommandations issues de l évaluation et les éventuelles modifications apportées à la cible de sécurité lors de l évaluation ne remettent pas en cause l emploi présumé du produit et le niveau de robustesse visé. La qualification précise : - la référence du produit, - le niveau de qualification atteint, - la cible de sécurité, - les limites ou réserves associées à la qualification 1, - la durée de validité de la qualification, - si le produit est engagé dans un programme de surveillance. 4.5 Validité de la qualification Le processus de qualification mis en place par la DCSSI vise à disposer de produits de confiance dans la durée. La durée de validité d une qualification varie suivant le type de produits et le niveau de la qualification. Elle est typiquement de 6 mois pour les produits logiciels. Pour les produits certifiés dans le cadre du décret 2002-535, la DCSSI demande aux commanditaires de mettre les produits certifiés sous surveillance. La validité de la qualification du produit est prolongée tant que le produit est sous surveillance. Pour les produits évalués dans cadre du schéma d évaluation mis en place pour l agrément des produits destinés à la protection des informations classifiées de défense, la validité de la qualification peut être prorogée par une réévaluation régulière du produit et de ses algorithmes cryptographiques. La qualification peut être retirée par la DCSSI si un événement nouveau lui permet de démontrer que les conditions ayant conduit à la qualification ne sont plus remplies. Cela peut résulter par exemple de la mise en évidence d une nouvelle vulnérabilité du produit ou de l annulation du certificat ayant servi à délivrer la qualification. 4.6 Caractéristiques de la qualification au niveau standard La qualification au niveau standard, définie dans le document [Processus standard], repose sur l utilisation du schéma d évaluation et de certification de la sécurité offerte par les produits et technologies de l information tel que défini dans le décret 2002-535 du 18 avril 2002. 1 Le cas échéant par un renvoi au paragraphe pertinent de la cible de sécurité et du rapport de certification. 8

La DCSSI peut répertorier des profils de protection comme référentiel pour le niveau standard. Dans ce cas la conformité de la cible de sécurité à ce profil de protection vaut acceptation de la cible de sécurité par la DCSSI (étape 1) et la certification du produit conformément au profil de protection vaut qualification au niveau standard. La DCSSI enrichit et maintient à jour la liste des Profils de protection valant référentiel pour la qualification au niveau standard (ainsi que pour les autres niveaux). 4.7 Caractéristiques de la qualification au niveau renforcé et élevé Pour les produits visant le niveau renforcé ou élevé, au titre de l analyse et la validation de la pertinence de la cible de sécurité, la DCSSI peut demander le respect de référentiels techniques particuliers (algorithmes cryptographiques, mécanismes de protection physique ). Les produits qualifiés au niveau renforcé et élevé peuvent incorporer des mécanismes ou des techniques sensibles (algorithme cryptographique, technologie sensible) ce qui conduit à imposer des exigences particulières sur les sociétés pouvant développer de tels produits et nécessite un contrôle des produits incorporant de tels mécanismes. La qualification au niveau renforcé et élevé peut ainsi être assortie : - de limitation sur les personnes ou organismes pouvant utiliser ces produits, - d exigence sur le suivi et le contrôle de ces produits. 9

5 Règles d emploi des produits qualifiés La qualification d un produit est une attestation de la robustesse des services de sécurité du produit. Elle peut être assortie de limitations sur l emploi du produit pour bénéficier de ce niveau de qualification. Outre le respect des obligations réglementaires (IGI900, R901), l autorité d homologation est responsable du choix de produits de sécurité adaptés aux besoins de sécurisation de son système d information. Afin de guider les maîtres d œuvre, intégrateurs et autorités d homologation, la DCSSI édite des recommandations sur l emploi des produits qualifiés, en fonction du niveau de qualification, des services de sécurité offerts. Le développement de l administration électronique, en particulier, requiert l utilisation de produits de sécurité de confiance par l administration et les usagers. La «Politique de Référencement Intersectorielle de sécurité» (PRIS) fixe les exigences ou recommandations en matière de qualification de produits pour le développement de téléservices sûrs. 10

6 Relations entre la qualification, la caution et l agrément des produits de sécurité 6.1 Introduction Les notions d agrément et de caution ne permettent pas d appréhender correctement la qualification des produits de chiffrement : l agrément Confidentiel Défense est donné pour les produits protégeant les informations sensibles dans un environnement non protégé. Les exigences associés sont donc fortes, bien supérieures à ce qu on pourrait exiger pour assurer, par exemple, la gestion du besoin d en connaître, qui selon l IGI900 nécessite l utilisation de produits agréés. Les paragraphes suivants précisent le lien entre la qualification d une part, l agrément et la caution dans leurs acceptations actuelles d autre part. 6.2 Délivrance des agréments pour les produits Lorsque le produit a déjà été qualifié, la demande d agrément est examinée en fonction du niveau de qualification du produit, du niveau de classification des informations et du contexte d emploi. Lorsque le produit n a pas encore fait l objet d une qualification, la procédure d agrément doit conduire à délivrer, préalablement à l agrément, une qualification. Le tableau ci-dessous précise les niveaux de qualification requis nominalement 2 du type d agrément. Type Niveau de d agrément qualification requis Secret Défense Elevé Confidentiel Renforcé Défense en fonction Dans les deux cas, la DCSSI délivre alors, le cas échéant, l agrément qui vient attester que le produit peut protéger des informations d un niveau de classification donné dans un contexte d emploi donné. L agrément du produit peut aussi énoncer des conditions restrictives d emploi. Il mentionne une durée de validité au-delà de laquelle une révision de l agrément est nécessaire 3. 2 Correspond au cas où la menace n a pas été réduite par la mise en œuvre du produit dans un environnement particulier. 3 L agrément d un produit comme l agrément de principe des algorithmes cryptographiques peuvent être retirés à tout moment par la DCSSI du fait de l évolution de l état de l art. 11

6.3 Délivrance des cautions pour les produits cryptographiques Pour les produits cryptographiques, sauf mention contraire, la qualification vaut caution selon la grille suivante : Type de caution Sensible Confidentiel Sensible limité Niveau de qualification requis Renforcé ou élevé Standard La procédure de caution se réduit à la procédure de qualification au niveau approprié. L autorité d homologation doit juger de l adéquation du produit cautionné à ses besoins, en prenant en compte le contenu de la cible de sécurité du produit, les recommandations sur l emploi du produit et les guides sur l emploi des produits qualifiés. 12

Annexe A : Règle de figuration des produits dans les catalogues de produits I CATALOGUE PUBLIC DES PRODUITS RECOMMANDES PAR LA DCSSI La DCSSI élabore un catalogue public des produits de sécurité qu elle recommande. Ce catalogue sera disponible et maintenu sur le site Internet de la DCSSI (http://www.ssi.gouv.fr). Sous réserve de l accord des industriels, il référencera les produits qualifiés ou en cours de qualification par la DCSSI et les produits certifiés dans le cadre du décret 2002-535 4. II CATALOGUE DES PRODUITS A USAGE GOUVERNEMENTAL La DCSSI a élaboré et maintient à jour un catalogue des produits de sécurité à usage gouvernemental à diffusion contrôlée. Ce catalogue est accessible sur le site à accès réservé de la DCSSI. Il est également diffusé sous forme de cédérom. Il référence les produits certifiés, qualifiés ou en cours de qualification, en mentionnant, le cas échéant, s ils ont été cautionnés ou agréés. III CATALOGUE LOI (LETTER OF INTENT) Le catalogue de la LoI référence les produits cryptographiques assurant des services de confidentialité des transmissions approuvés au niveau national pour la protection du Diffusion restreinte. Ce catalogue est tenu à jour par la Suède. Il est mis à jour régulièrement. En application des règles sur la qualification, sont référencés dans le catalogue de la LoI les produits de chiffrement qualifiés au niveau standard et au niveau renforcé, sous réserve que ces produits puissent être utilisés par des industriels de l armement des pays signataires de la LoI. IV CATALOGUE OTAN L OTAN met actuellement en place un catalogue des produits INFOSEC dans lequel sont référencés par la DCSSI : - les produits de cryptologie approuvés pour la protection du classifié OTAN, - les produits de sécurité qualifiés par la DCSSI. 4 Le site Internet de la DCSSI contient déjà une liste des produits certifiés lorsque le certificat est public. 13

Annexe B : Utilisation de la marque "certification sécurité TI" I MARQUE «CERTIFICATION SECURITE TI» La marque certification sécurité TI, dont le descriptif figure ci-dessous, est la marque de certification française des technologies de l information accordée par la Direction centrale de la sécurité des systèmes d information (DCSSI) en application du décret 2002-535. Elle est destinée à être utilisée par les différents acteurs du schéma français d évaluation et de certification des technologies de l information : - par l organisme de certification, comme marque de communication ; - par les centres d évaluation de la sécurité des technologies de l information, comme marque d agrément ; - par les commanditaires des évaluations, comme marque de certification pour leurs produits certifiés. Les règles générales relatives à la marque certification sécurité TI sont précisées dans la procédure Utilisation de la marque certification sécurité TI. II UTILISATION DE LA MARQUE «CERTIFICATION SECURITE TI» POUR LES PRODUITS QUALIFIES Lorsque le produit a fait l objet d une qualification suite à une évaluation certification dans le cadre du décret 2002-535, et dans les conditions d utilisation de la marque «certification sécurité TI», il fait figurer le niveau de qualification atteint comme présenté ci-dessous. Qualification Renforcée Certificat 2003/xx EAL4+ 14

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back