PROCEDURE SURVEILLANCE DES PRODUITS CERTIFIES

Documents pareils
PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Rapport de certification PP/0002

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

CERTIFICAT DE SITUATION RELATIVE AUX COTISATIONS

Rapport de certification PP/0308. Profil de protection «Cryptographic Module for CSP Signing Operations with Backup» Version 0.28

Rapport de certification PP/0101

Rapport de certification ANSSI-CSPN-2010/07. KeePass Version 2.10 Portable

DATE D'APPLICATION Octobre 2008

MEMENTO Version

Loi n 0005/2008 du 11 juillet 2008 portant création, organisation et fonctionnement de l Agence Nationale de l Aviation civile

La veille d'information sur Internet

La loi NRE. Article 116

Autorité de certification

REGLEMENT DE CONSULTATION (R.C.)

Autorité de Certification OTU

Décret du 25 Avril 2002 modifié pris pour l application de la loi du 4 Janvier 2002 relative aux musées de France

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

Plan de la présentation :

GUIDE POUR LA MISE SUR LE MARCHÉ DE DISPOSITIFS MÉDICAUX SUR MESURE APPLIQUE AU SECTEUR DENTAIRE

UNIVERSITE DE TOULON UFR FACULTE DE DROIT REGLEMENT D EXAMEN ANNEE 2012/2017 LICENCE DROIT MENTION DROIT GENERAL

MODALITES D'APPLICATION DE LA KEYMARK. "Refroidisseurs de lait en vrac à la ferme "

SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES

Préambule. Définitions. Tableau récapitulatif. Liste des annexes

Une formation continue du Luxembourg Lifelong Learning Center / CERTIFICAT

Service de presse R P O P C RÉPERTOIRE PERMANENT OUVRAGES-PRODUITS DE CONSTRUCTION. accessible sur

DÉCLARATION ET DEMANDE D'AUTORISATION D OPÉRATIONS RELATIVES A UN MOYEN DE CRYPTOLOGIE

BULLETIN OFFICIEL DES ARMEES. Edition Chronologique n 20 du 3 mai 2013 TEXTE SIGNALE

Après examen par le conseil des ministres réuni le 8 ramadan 1417 (17 janvier 1997),

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Rapport d'audit étape 2

plate-forme mondiale de promotion

Gestion des Clés Publiques (PKI)

Avis du Conseil National de la Consommation sur les informations des consommateurs-sites «comparateurs»

Règlement de Fonctionnement

DEMANDE D AUTORISATION D UN SYSTEME DE VIDEOPROTECTION

QUESTIONNAIRE ASSURANCE RESPONSABILITE CIVILE PROFESSIONNELLE ET DECENNALE DES ARCHITECTES, MAITRES D ŒUVRE, BET ET INGENIEURS CONSEILS.

déjà prêts pour mieux vous protéger! Gardez le sourire, nous sommes Nouvelle norme NF EN Certification 10G

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

QUESTIONNAIRE Responsabilité Civile

Signature électronique. Romain Kolb 31/10/2008

METIERS DE L INFORMATIQUE

Demande de Modification d abonnement

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

Marquage CE des Granulats

CONDITIONS GENERALES VENTE

- Compléter, dater et signer le présent formulaire d adhésion ;

MARCHE PUBLIC DE PRESTATIONS INTELLECTUELLES Code des marchés publics (décret du 1er août 2006)

MODELE D AVIS D APPEL PUBLIC A LA CONCURRENCE

SEMINAIRES INTERNATIONAUX

Politique de Certification de l'ac INFRASTRUCTURE Profil Signature de jetons d horodatage

CONTRAT D ABONNEMENT AU SERVICE DE SIGNATURE ÉLECTRONIQUE CERTIMETIERSARTISANAT CONDITIONS PARTICULIÈRES (Version 3.1)

Mise en œuvre de la radioprotection dans les entreprises: Certification d'entreprise et formation du personnel.

Archivage de documents électroniques dans le réseau des Archives de France

Règlement financier et de Gestion de la F.F.S.B.

- Compléter, dater et signer le présent formulaire d adhésion ;

ACTE D'ENGAGEMENT. En date du.. PRESTATIONS DE DERATISATION A REALISER SUR PLUSIEURS SITES DE L EPSM MORBIHAN

Marché public de services REGLEMENT DE CONSULTATION

Guide de bonnes pratiques de sécurisation du système d information des cliniques

42 Route d Olivet 7 ZAC DE COCOYER ORLEANS SAINT FRANCOIS

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

Chapitre 11 Gestion d une affaire

autonome loi 1901 A. CREATION DE L ASSOCIATION Une Coopérative scolaire peut se constituer en Association autonome.

Brève étude de la norme ISO/IEC 27003

ISO conformité, oui. Certification?

Organisme Notifié N 1826 REFERENTIEL POUR LA CERTIFICATION DE CONFORMITE CE DES PLOTS RETROREFLECHISSANTS

ACTE D ENGAGEMENT. Article 1 -Contractants

BTS - Assistant de gestion PME-PMI

«Audit Informatique»

Contrat de Souscription : CA Certificat + Conditions Générales d Utilisation Annexe 2 : Guide de souscription

éq studio srl Gestion des informations pour un choix- consommation raisonnée - GUIDE EXPLICATIVE

Evaluation, Certification Axes de R&D en protection

«Audit Informatique»

Processus 2D-Doc. Version : 1.1 Date : 16/11/2012 Pôle Convergence AGENCE NATIONALE DES TITRES SECURISÉS. Processus 2D-Doc.

MINISTERE DE LA COMMUNAUTE FRANCAISE ADMINISTRATION GENERALE DE L ENSEIGNEMENT ET DE LA RECHERCHE SCIENTIFIQUE

Politique de Référencement Intersectorielle de Sécurité (PRIS)

Nomination et renouvellement de MCF et PR associé à temps plein

REGLEMENT DE LA CONSULTATION (R.C) MAIRIE DE FENOUILLET Département de la Haute Garonne FOURNITURES DE NETTOYAGE ET D ENTRETIEN

Marquage CE et dispositifs médicaux

ROYAUME DU MAROC Politique de certification - Autorité de Certification Externe -

REGLES APSAD R81 DETECTION INTRUSION

Validation des acquis de l expérience. Quelles démarches pour les agents publics? collection. Ressources humaines

NOTA : article L pour les départements et article L pour les régions.

INTERNET ET e-commerce

GUICHET D ENTREPRISES INSCRIPTION PERSONNE PHYSIQUE

Date : 16 novembre 2011 Version : 1. 2 Nombre de pages : 13

REGLEMENT DE LA CONSULTATION (R.C.)

R P A O RÈGLEMENT PARTICULIÈR DE L APPEL D OFFRE RÈGLEMENT PARTICULIÈR DE L APPEL DE CANDIDATURE. Guide pour la rédaction du RPAO RPAO ET DU

Modalités de candidature et de certification. Niveau 1. Certification de personnes Expert méthode HACCP/SMSDA

REGLES D ATTRIBUTION ET DE SUIVI DE LA CERTIFICATION AMIANTE 1552

REGLEMENT DE LA CONSULTATION. Procédure d appel d offres ouvert

Charte de la Banque ADN et de Cellules de Généthon

Politique de Certification et Déclaration des pratiques de certifications de l autorité Tunisian Server Certificate Authority PTC BR

HSP Preferred Partner Program

LIVRET SERVICE. Portail Déclaratif Etafi.fr

Les aides légales à la gestion du patrimoine et à la protection de la personne

QUESTIONNAIRE ASSURANCE RESPONSABILITE CIVILE PROFESSIONNELLE ET DECENNALE DES ARCHITECTES, MAITRES D ŒUVRE, BET ET INGENIEURS CONSEILS.

LA SIGNATURE ELECTRONIQUE

LOI N portant Code des Postes

BRANCHE DU NÉGOCE ET PRESTATIONS DE SERVICES

Conseil d'état - 5ème et 4ème sous-sections réunies. Lecture du mercredi 30 mars Société Betclic Enterprises Limited

Transcription:

PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Paris, le 16 novembre 2005. N 3172/SGDN/DCSSI/SDR Référence : SUR/P/01.2 PROCEDURE SURVEILLANCE DES PRODUITS CERTIFIES Objet : Surveillance des produits certifiés Application : A compter du 1 er décembre 2005 Diffusion : Publique Vérifié par Le responsable qualité Le chef du centre de certification Validé par Le sous-directeur de la "Régulation" Vu l'avis du comité directeur sur la révision 1 Approuvé par Le Directeur central de la sécurité des systèmes d'information 51 boulevard de La Tour-Maubourg - 75700 PARIS 07 SP

Suivi des modifications Révision Date Modifications 1 28/10/2003 Création 2 30/08/2005 Modification des conditions d arrêt de la surveillance et de la périodicité 2/6 SUR/P/01.2

TABLE DES MATIERES 1. OBJET DE LA PROCEDURE... 4 2. REFERENCES... 4 3. DESCRIPTION DE LA PROCEDURE... 4 3.1. Demande de la mise sous surveillance... 4 3.2. Portée de la surveillance... 4 3.3. Travaux de surveillance... 4 3.4. Arrêt de la surveillance... 4 4. ROLES DES DIFFERENTS ACTEURS... 5 4.1. Le commanditaire de la surveillance... 5 4.2. Le centre d évaluation... 5 4.3. Le centre de certification... 5 ANNEXE A MODELE DE LETTRE POUR L ARRET DE LA SURVEILLANCE... 6 SUR/P/01.2 3/6

1. Objet de la procédure Cette procédure décrit le processus de surveillance des produits. La surveillance a pour objectif d assurer dans le temps la confiance dans les produits certifiés, ou plus précisément la confiance en leur résistance aux attaques, en tenant compte de l évolution de l état de l art dans le domaine des attaques. La surveillance s inscrit dans le cadre du décret 2002-535 et suit les procédures du système de certification. 2. Références Décret 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information. Norme NF EN 45011 : Chapitre 13 : surveillance. 3. Description de la procédure 3.1. Demande de la mise sous surveillance La surveillance d un produit certifié peut être demandée par le commanditaire de l évaluation, le développeur du produit ou encore par toute autre personne ayant le consentement du développeur. Elle peut être initiée à tout moment, soit juste après l évaluation, soit plus tard. Seul un centre d évaluation ayant une parfaite connaissance du produit pourra être sélectionné pour mener la surveillance du produit (typiquement, le centre d évaluation ayant réalisé l évaluation initiale du produit). Pour l enregistrement de la surveillance, le centre d évaluation doit fournir à la DCSSI un dossier de surveillance qui précise l organisation du projet de surveillance en termes de périodicité des travaux et de charges prévues. La surveillance est enregistrée lorsque ce dossier est validé par la DCSSI. 3.2. Portée de la surveillance Un programme de surveillance ne porte que sur la version certifiée du produit. 3.3. Travaux de surveillance La surveillance consiste à réaliser de manière périodique des travaux de mise à jour de l analyse de résistance du produit certifié. Toutefois, le centre de certification peut à tout moment (sur sa propre initiative ou sur la proposition d un centre d évaluation) demander à ce que l'analyse de résistance du produit sous surveillance fasse l objet d une mise à jour dans le cadre de la présente procédure (suite, par exemple, à l apparition d une nouvelle attaque). Cette analyse de résistance comprend : une analyse de vulnérabilité (au même niveau que celui demandé dans la cible de sécurité du produit certifié) amenant éventuellement à des tests de pénétration sur le produit ; une analyse de la résistance des fonctions ; une analyse des mécanismes cryptographiques (uniquement si elle avait été initialement effectuée). Dans le cas où cette analyse laisserait apparaître une vulnérabilité, un rapport est transmis au centre d évaluation afin qu il essaie de l exploiter et l intègre comme point d entrée à sa propre analyse de vulnérabilité. A l issue de l analyse du centre d évaluation, ce dernier émet un rapport qui est transmis au centre de certification et au commanditaire. 3.4. Arrêt de la surveillance La surveillance peut être arrêtée : - à la demande du commanditaire (voir modèle en Annexe A), - par décision de la DCSSI, en particulier, en l absence de rapport d analyse à la date prévue. 4/6 SUR/P/01.2

4. Rôles des différents acteurs 4.1. Le commanditaire de la surveillance Le commanditaire de la surveillance finance les travaux périodiques (art. 3 du décret 2002-535). Il est aussi en charge de la livraison des échantillons du produit au centre d évaluation. 4.2. Le centre d évaluation Le centre d évaluation en charge de la surveillance doit avoir une parfaite connaissance du produit (par exemple en ayant réalisé l évaluation initiale du produit). Il élabore le dossier de surveillance et assure une veille technologique sur l état de l art dans le domaine technique associé au produit certifié. A l'issue des travaux, il rédige le rapport contenant l analyse de résistance du produit certifié et les résultats des tests (le cas échéant). 4.3. Le centre de certification Le centre de certification suit l ensemble des travaux de surveillance sur la base des résultats validés des travaux périodiques. Il confirme la poursuite de la surveillance. Il est de la responsabilité du développeur de communiquer à ses clients les résultats de la surveillance. Le centre de certification publie les résultats de la surveillance du produit uniquement sur demande du commanditaire de celle-ci. SUR/P/01.2 5/6

Annexe A Modèle de lettre pour l arrêt de la surveillance A adresser à : Monsieur le directeur central de la sécurité des systèmes d information SGDN/DCSSI 51, boulevard de la Tour-Maubourg 75700 Paris 07 SP A l attention du centre de certification (DCSSI/SDR/CCN) Objet : arrêt de la surveillance d un produit certifié Référence : 1) certificat <n de certificat du produit> Monsieur le Directeur Conformément à la procédure SUR/P/01 du schéma français d évaluation et de certification, je vous informe que je met fin au processus de surveillance du produit cité en référence 1. A <lieu>, le <date> [Nom, titre, signature de la personne habilitée à engager la société, ou mandataire social de la société] 6/6 SUR/P/01.2

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back