P R E M I E R M I N I S T R E Secrétariat général de la défense nationale Paris, le 28 JUIL. 2003 N 001591/SGDN/DCSSI/SDR Direction centrale de la sécurité des systèmes d information Affaire suivie par : Philippe Blot Téléphone : 01.71.75.82.71 Mél : philippe.blot@sgdn.pm.gouv.fr Processus de qualification d un produit de sécurité - niveau standard - version 1.0 SOMMAIRE 1 INTRODUCTION...2 1.1 OBJECTIFS...2 1.2 AUDIENCE...2 1.3 QUALIFICATION ET CERTIFICATION...2 1.4 QUALIFICATION DE PRODUIT ET HOMOLOGATION DE SYSTÈME...3 2 DOCUMENTATION APPLICABLE...4 3 LA DÉMARCHE DE QUALIFICATION...5 3.1 CONDITIONS GÉNÉRALES...5 3.2 LA DÉMARCHE...5 3.3 ACCEPTATION DE LA CIBLE DE SÉCURITÉ...5 3.4 EVALUATION ET CERTIFICATION...6 3.5 QUALIFICATION...6 3.6 MAINTENANCE DU CERTIFICAT / DE LA QUALIFICATION...7 3.7 PUBLICATION DES VULNÉRABILITÉS...7 4 RÉFÉRENTIELS APPLICABLES...8 4.1 EN MATIÈRE DE TECHNOLOGIES DE L INFORMATION...8 4.2 EN MATIÈRE D ASSURANCE...8 5 PUBLICITÉ, PUBLICATION ET EXPLOITATION DES RÉSULTATS...10 5.1 PUBLICATION DES CERTIFICATS...10 5.2 PUBLICATION DES QUALIFICATIONS...10 5.3 PROMOTION DES ÉVALUATIONS / QUALIFICATIONS...10 5.4 EXPLOITATION DES RÉSULTATS...10 5 1 b o u l e v a r d d e L a T o u r - M a u b o u r g 7 5 7 0 0 P A R I S 0 7 S P
1 Introduction 1.1Objectifs Le déploiement de solutions de sécurisation des systèmes d information s appuie, en complément des mesures organisationnelles, sur la mise en œuvre de fonctions techniques logicielles et matérielles, fournies dans de nombreux cas par des produits de sécurité. En tant que régulateur en matière de qualification des produits de sécurité, en particulier dès lors qu ils sont susceptibles de protéger les informations de l administration, mais aussi dans le cadre plus général de la sécurisation de la société de l information, la DCSSI a défini plusieurs niveaux de qualification de ces produits. Le niveau standard, objet du présent document, vise à assurer que les produits ont été évalués et certifiés selon un paquet d assurance spécifique EAL2 augmenté, défini au paragraphe 4. Afin de soutenir l émergence d une offre de produits qualifiés au niveau standard, la DCSSI propose au travers de ce mémento : - une démarche de qualification à ce niveau ; - des exigences générales applicables aux produits en vue de leur évaluation. En parallèle, la DCSSI est en train de constituer un référentiel d exigences techniques applicables aux produits, sous la forme de Profils de Protection, pour lesquels elle recherchera une homologation nationale, et de fiches techniques, pouvant servir de clauses techniques dans les marchés. 1.2Audience Ce document est principalement destiné aux acteurs participants à la procédure de qualification : donneurs d ordres, maîtrises d ouvrage et maîtrises d œuvre, commanditaires, développeurs, 1.3Qualification et certification La démarche de qualification au niveau standard (sans présumer de ce que pourra être la démarche de qualification à d autres niveaux) s appuie sur l évaluation et certification des produits au sens du décret 2002-535 (dénommée évaluation et certification dans la suite du document). Le positionnement de la qualification est le suivant : - elle intervient en amont de la mise en œuvre d une évaluation et certification, pour accepter la cible de sécurité du produit à évaluer ; - pendant l évaluation et certification, elle n a a priori aucune activité autre que le suivi de ce processus ; - puis elle consiste à vérifier que la certification n a pas induit de modifications de la cible de sécurité préalablement acceptée, qui seraient de nature à remettre en cause la qualification. Version 1.0 2
La reconnaissance de certificats étrangers dans le cadre de la procédure de qualification des produits, n est pas traitée de manière générale dans ce document ; elle peut faire l objet d une étude au cas par cas, des fournitures complémentaires pouvant être demandées par la DCSSI. 1.4Qualification de produit et homologation de système Les exigences exprimées dans la cible de sécurité d un produit devront être conformes aux exigences requises dans le présent document, ou à terme aux exigences techniques en vigueur et décrites dans le référentiel d exigences technique de la DCSSI. Afin d être utilement exploitées dans le processus d homologation d un système d information intégrant le produit, les exigences exprimées devront en outre être confrontées aux exigences résultant de l'analyse globale de risques du système. Version 1.0 3
2 Documentation applicable Le processus décrit s appuie sur les documents applicables suivant : [DECRET] : décret 2002-535 du 18 avril 2002, relatif à l évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l information [IS 15408] : Information technology - Security techniques Evaluation criteria for IT security [CC] : Common Methodology for Information Technology Security Evaluation [CEM] : Common Criteria for information technology security evaluation [ECF] : Guides techniques ECF (Evaluation et Certification Française) du schéma français d évaluation et de certification de la sécurité des technologies de l information [FOURNITURES CRYPTO] : Fournitures nécessaires à l analyse de mécanismes cryptographiques, v1.1, n 1932/SGDN/DCSSI/SDS du 4 octobre 2002 Version 1.0 4
3 La démarche de qualification 3.1Conditions générales La demande de qualification d un produit de sécurité peut émaner du fournisseur, d un développeur, d'une administration centrale, déconcentrée, territoriale, d'un organisme sous tutelle ou paritaire, d'un service public ou d'un corps constitué, ou de consortiums ; elle référence la version du produit à qualifier. L évaluation de la sécurité d un produit en vue de sa qualification au niveau standard est une évaluation et certification au sens du décret 2002-535. La cible de sécurité du produit est publique (ou du moins, il en existe une version publique). Le processus de qualification est également considéré par la DCSSI comme un processus d amélioration des produits et comme une action de partenariat avec l industrie : la DCSSI engage les développeurs à prendre en compte les recommandations qu elle peut émettre durant le processus engagé, soit sur la version du produit faisant l objet de l évaluation et certification, soit lors d une version suivante du produit. A ce titre, la DCSSI recommande que l acceptation de la cible de sécurité, voire l évaluation du produit, soient menées en parallèle du développement du produit, et non pas après. 3.2La démarche La qualification d un produit de sécurité au niveau standard suit les grandes étapes suivantes : - acceptation de la cible de sécurité ; - évaluation et certification ; - qualification ; - maintien du certificat / de la qualification. 3.3Acceptation de la cible de sécurité Cette étape a pour objectif de contrôler l adéquation de la cible de sécurité avec le niveau d exigences attendu par la DCSSI et vis-à-vis de l emploi présumé du produit. Elle permet à la DCSSI de s assurer que le choix des menaces, des objectifs de sécurité, du périmètre des fonctions évaluées et de la profondeur de l évaluation, des choix en matière de cryptographie,, résultent d une analyse préalable des risques menée par le développeur, et répond aux recommandations de la DCSSI en matière d architectures, d administration de la sécurité,... Conditions particulières : Cette acceptation est conduite par le bureau réglementation de la DCSSI (qui instruit les qualifications de produits de sécurité), qui s appuie sur les experts nécessaires ainsi que des représentants des utilisateurs. L analyse de la cible de sécurité est conduite sur la base d une proposition de cible et sur l analyse des risques, toutes deux établies par le développeur. Elle s appuie également sur la documentation fournie par le développeur expliquant ses choix en matière de cryptographie. Version 1.0 5
La cible s appuie sur les exigences techniques disponibles dans le référentiel de la DCSSI, et le développeur établit une matrice de conformité entre la cible de son produit et ces exigences techniques. A titre indicatif, la durée de cette étape peut être considérée de l ordre de 1 à 2 mois, sous réserve de la présentation d une cible initiale de qualité : cela suppose que les développeurs qui n ont pas encore engagé de processus d évaluation et certification au sens du décret 2002-535 soient formés aux Critères Communs ; le développeur pourra faire appel à un prestataire de son choix pour cette formation (CESTI, par exemple). 3.4Evaluation et certification L évaluation et certification est conduite selon les principes décrits dans le décret 2002-535 et les procédures en vigueur (disponibles sur le site web de la DCSSI : http://www.ssi.gouv.fr/). Afin de limiter les risques de l évaluation et certification, la DCSSI demande que l étude de faisabilité décrite dans [ECF] (ECF03, chapitre 2) soit menée : au vu des résultats de cette étude, la DCSSI se réserve le droit de reporter la qualification. Conditions particulières : La base du contrat liant le commanditaire à l évaluateur doit être la version de la cible de sécurité acceptée par la DCSSI. La DCSSI n intervient pas dans le choix du CESTI ; la liste des centres d évaluation ainsi que leur portée d agrément sont publiées sur le site de la DCSSI. Conditions particulières pour l analyse de la cryptographie : L analyse de la cryptographie est obligatoire dans le cadre de la qualification. Cette analyse est gérée par la DCSSI dans le processus de certification. Elle nécessite la fourniture par le développeur d une documentation conforme aux exigences de [FOURNITURES CRYPTO]. Le développeur désigne un correspondant qui est à même de répondre aux éventuelles questions de la DCSSI sur le sujet de la cryptographie. Les résultats de l analyse figurent in fine dans le rapport de certification. A titre indicatif, la durée de l évaluation, pour le niveau d évaluation requis défini ci-après, peut être considérée de l ordre de 4 à 6 mois (en fonction de la nature et du périmètre de la cible d évaluation. Le bureau certification de la DCSSI dispose d 1 mois pour émettre le rapport de certification après que l ensemble des rapports d évaluation ont été validés (article 5 de [DECRET]). 3.5Qualification En cas de succès à la certification, la DCSSI instruit la qualification du produit. Elle contrôle notamment : - que les éventuelles retouches apportées à la cible de sécurité pendant la phase d évaluation et certification restent acceptables vis-à-vis de la cible initiale résultant de la phase d acceptation ; Version 1.0 6
- que les vulnérabilités identifiées lors de l évaluation sont acceptables au regard des contextes d emploi prévus pour le produit : pour ce faire, la DCSSI est destinataire du rapport technique d évaluation complet. Conditions particulières : La qualification est instruite par le bureau réglementation de la DCSSI. A titre indicatif, la durée de cette étape peut être considérée de l ordre de 1 à 2 mois suite à la certification du produit. 3.6Maintenance du certificat / de la qualification La DCSSI met en place ce processus de qualification afin de disposer de produits de confiance, dans la durée. Elle demande donc aux développeurs de s engager à mettre en place avec le CESTI un contrat de maintenance du certificat (telle que prévue par le schéma), ou à lancer une nouvelle évaluation et certification du produit en cas de rupture technologique d une nouvelle version du produit avec la version évaluée. Dans ce dernier cas, la DCSSI demande aux développeurs d engager le plus tôt possible (de préférence avant le lancement effectif des réalisations) le processus de (re)qualification des nouvelles versions de ses produits déjà qualifiés, en lui soumettant notamment la cible de sécurité de ces nouvelles versions pour une nouvelle acceptation. 3.7Publication des vulnérabilités Si des vulnérabilités ont été découvertes pendant l'évaluation, celles-ci ont dû être conformément aux règles du schéma : - soit corrigées, - soit prises en compte au niveau des contraintes d'emploi du produit, - soit ignorées car hors cible ou hors objectifs de sécurité (risques résiduels tolérables). Dans tous les cas, ces vulnérabilités ne sont pas rendues publiques. De même, les vulnérabilités découvertes après l'évaluation et certification sont traitées conformément au processus de maintenance du certificat et de la qualification. Elles sont confidentielles et ne peuvent être rendues publiques, sauf si des correctifs ou des moyens de contournement suffisants sont proposés par le fournisseur. Version 1.0 7
4 Référentiels applicables La DCSSI établira, sous forme de Profils de Protection et de fiches techniques, le référentiel des exigences techniques applicables par type de produits. Dans l attente de ce référentiel, les exigences générales suivantes sont applicables. 4.1En matière de technologies de l information Le niveau de résistance des fonctions de sécurité (SOF) requis est le niveau élevé, tel que défini dans [CC]. 4.2En matière d assurance Le niveau d assurance requis pour une qualification au niveau standard est le niveau EAL2 augmenté, conformément au paquet d assurance défini ci-après. Les domaines qui méritent une attention particulière concernent : la capacité de la cible à subir des tests, l identification des vulnérabilités. D autres aspects sont à considérer : conditions de livraison, et de mise en exploitation. Enfin d autres domaines, identifiés comme dépendant des premiers par [CC], sont introduits dans le paquet d assurance : guides d utilisation et d administration. Version 1.0 8
Classe d'assurance Famille d'assurance Composants d'assurance par niveau d'assurance de l'évaluation EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7 niveau retenu pour le paquet EAL2+ de qualification au niveau standard Gestion de ACM_AUT 1 1 2 2 configuration ACM_CAP 1 2 3 4 4 5 5 2 ACM_SCP 1 2 3 3 3 Livraison et ADO_DEL 1 1 2 2 2 3 1 exploitation ADO_IGS 1 1 1 1 1 1 1 1 ADV_FSP 1 1 1 2 3 3 4 1 ADV_HLD 1 2 2 3 4 5 2 ADV_IMP 1 2 3 3 1 (pour la classe fonctionnelle FCS) Développement ADV_INT 1 2 3 ADV_LLD 1 1 2 2 1 (pour la classe fonctionnelle FCS) ADV_RCR 1 1 1 1 2 2 3 1 ADV_SPM 1 3 3 3 Guides AGD_ADM 1 1 1 1 1 1 1 1 AGD_USR 1 1 1 1 1 1 1 1 ALC_DVS 1 1 1 2 2 1 Support au Cycle de vie ALC_FLR 3 ALC_LCD 1 2 2 3 ALC_TAT 1 2 3 3 1 (pour la classe fonctionnelle FCS) Tests ATE_COV 1 2 2 2 3 3 1 ATE_DPT 1 1 2 2 3 ATE_FUN 1 1 1 1 2 2 1 ATE_IND 1 2 2 2 2 2 3 2 Estimation des vulnérabilités AVA_CCA 1 2 2 AVA_MSU 1 2 2 3 3 1 AVA_SOF 1 1 1 1 1 1 1 AVA_VLA 1 1 2 3 4 4 2 Version 1.0 9
5 Publicité, publication et exploitation des résultats 5.1Publication des certificats Les certificats correspondant à des produits qualifiés ou en cours de qualification au niveau standard, le rapport de certification, la cible de sécurité, et éventuellement la documentation d accompagnement requise (documentation d installation du produit, ) sont systématiquement publiés. Cela impose notamment une version publique de la cible de sécurité. Afin d élargir la portée des certificats émis, la DCSSI procède à l émission d un rapport de certification bilingue (franco-anglais). Il est donc demandé aux développeurs de faire de même pour leur cible de sécurité, sachant que pour le marché français, une version française de la cible est requise. 5.2Publication des qualifications La DCSSI gère au profit des administrations un catalogue des produits de sécurité à usage gouvernemental, qui comprend l ensemble des produits qualifiés ou en cours de qualification. Dans ce catalogue figurent, outre les informations liées au processus de qualification, des informations relatives aux performances des produits (débits, MTBF, dimension, poids, ), aux coûts des produits (ainsi que de leurs éventuels périphériques ou des équipements requis pour leur mise en oeuvre, de leur maintenance, ), aux délais d approvisionnement, aux contacts commerciaux du développeur, La DCSSI demande aux développeurs de lui fournir les informations utiles pour la constitution de ce catalogue. A noter : la DCSSI analyse la possibilité d un catalogue restreint aux produits qualifiés au niveau standard, qui serait mis à disposition du public sur son site web. 5.3Promotion des évaluations / qualifications Par son catalogue et par les relations privilégiées qu elle entretient avec les administrations, la DCSSI informe ces derniers des produits de sécurité pour lesquels un processus de qualification est en cours. 5.4Exploitation des résultats En vue de constituer le référentiel des exigences techniques de sécurité, la DCSSI et les éventuels intervenants extérieurs mandatés pour ce type de tâche s appuieront sur la documentation publique issue des résultats des processus de qualification. Par ailleurs, les développeurs seront sollicités pour participer à l élaboration des exigences techniques concernant leur(s) produit(s) qualifié(s) / en cours de qualification. Version 1.0 10