PROCEDURE SURVEILLANCE DES PRODUITS CERTIFIES. Paris, le 19 juin 2017 N 2970 /ANSSI/SDE/PSS/CCN Référence : ANSSI-CC-SUR-P-01_v4.0

Documents pareils
PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Rapport de certification PP/0101

Rapport de certification PP/0002

Rapport de certification PP/0308. Profil de protection «Cryptographic Module for CSP Signing Operations with Backup» Version 0.28

Mise en œuvre de la radioprotection dans les entreprises: Certification d'entreprise et formation du personnel.

DÉCLARATION ET DEMANDE D'AUTORISATION D OPÉRATIONS RELATIVES A UN MOYEN DE CRYPTOLOGIE

MODALITES D'APPLICATION DE LA KEYMARK. "Refroidisseurs de lait en vrac à la ferme "

Contrat de Souscription : CA Certificat + Conditions Générales d Utilisation Annexe 2 : Guide de souscription

en Tunisie Enseignant en droit public à la Faculté des Sciences Juridiques de Tunis, chargé du cours d informatique

GUIDE POUR LA MISE SUR LE MARCHÉ DE DISPOSITIFS MÉDICAUX SUR MESURE APPLIQUE AU SECTEUR DENTAIRE

CERTIFICAT DE SITUATION RELATIVE AUX COTISATIONS

Marquage CE des Granulats

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

Rapport de certification ANSSI-CSPN-2010/07. KeePass Version 2.10 Portable

Après examen par le conseil des ministres réuni le 8 ramadan 1417 (17 janvier 1997),

PROCEDURE DE CERTIFICATION IIW MCS SELON EN ISO 3834

Rapport d'audit étape 2

MEMENTO Version

DATE D'APPLICATION Octobre 2008

CERTIFICATION CERTIPHYTO

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

GUICHET D ENTREPRISES INSCRIPTION PERSONNE PHYSIQUE

REGLEMENT DE CERTIFICATION

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

REGLEMENT DE CONSULTATION. MAPA SEPDE - DéGéOM

Rapport de certification

Nomination et renouvellement de MCF et PR associé à temps plein

Attestation de Conformité CONSUEL

COMMUNE DE ROCHEMAURE (07) NETTOYAGE DE LOCAUX COMMUNAUX

Conditions Générales d Intervention du CSTB pour la délivrance d une HOMOLOGATION COUVERTURE

Loi n 0005/2008 du 11 juillet 2008 portant création, organisation et fonctionnement de l Agence Nationale de l Aviation civile

exigences des standards ISO 9001: 2008 OHSAS 18001:2007 et sa mise en place dans une entreprise de la catégorie des petites et moyennes entreprises.

REGLEMENT DE CERTIFICATION

DÉMARCHE DE CLASSEMENT MEUBLÉ DE TOURISME

Destinataires d'exécution

MARCHE PUBLIC DE SERVICES. MARCHE A PROCEDURE ADAPTEE Passé en application de l article 28 du code des marchés publics ACTE D ENGAGEMENT

AVIS D APPEL PUBLIC A LA CONCURRENCE

DÉCLARATION RELATIVE AUX ORGANES DE DIRECTION, SURVEILLANCE, CONTRÔLE DE LA PERSONNE MORALE

Autorité de Certification OTU

Permis d exploitation et de la concession minière

Évaluation et Certification Carlos MARTIN Responsable du Centre de Certification de la Sécurité des Technologies de l Information

Règlement de la Consultation

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

Evaluation, Certification Axes de R&D en protection

L Audit selon la norme ISO27001

Décret du 25 Avril 2002 modifié pris pour l application de la loi du 4 Janvier 2002 relative aux musées de France

Contrat de formation stagiaire pour le premier/deuxième 1 semestre d études pratiques 1

LIVRET SERVICE. Portail Déclaratif Etafi.fr

la Facture électronique mes premiers pas

la Facture électronique mes premiers pas

UNIVERSITE DE TOULON UFR FACULTE DE DROIT REGLEMENT D EXAMEN ANNEE 2012/2017 LICENCE DROIT MENTION DROIT GENERAL

Politique de Certification de l'ac INFRASTRUCTURE Profil Signature de jetons d horodatage

STRATÉGIE DE SURVEILLANCE

Appel à Manifestation d'intérêt

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

La Commission de la protection de la vie privée (ci-après "la Commission") ;

Préambule. Définitions. Tableau récapitulatif. Liste des annexes

Déclaration des Pratiques de Certification Isabel

(Cas particuliers de la location avec option d achat, du crédit-bail, et de la location de longue durée)

ACTE D ENGAGEMENT MISE EN ŒUVRE DE UN «NRA ZONE D OMBRE» SUR LE TERRITOIRE DE LA COMMUNE D OPPEDE

ACTE D'ENGAGEMENT. En date du.. PRESTATIONS DE DERATISATION A REALISER SUR PLUSIEURS SITES DE L EPSM MORBIHAN

Conservatoire National des Arts et Métiers

ANNEXE II ARTICLE 33 ENTRÉE EN VIGUEUR ET DURÉE DE L'ENTENTE

ACTE D ENGAGEMENT LOT N 2 N MAPA ENTRETIEN DES ESPACES VERTS ET PATRIMOINE ARBORE N & 10/02

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Activité : Élaboration, mise en forme et renseignement de documents

Organisme Notifié N 1826 REFERENTIEL POUR LA CERTIFICATION DE CONFORMITE CE DES PLOTS RETROREFLECHISSANTS

MARCHE PUBLIC DE TRAVAUX

Facultés: les Facultés, l Ecole des Sciences Humaines et Sociales, l Ecole de Droit, l Institut de Recherche en Sciences et Technologies du Langage.

SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES

FICHE 13 RESUME DESCRIPTIF DE LA CERTIFICATION (FICHE REPERTOIRE)

ACCORD DE PRÊT. Membre ou Conseil de (ci-après appelé «l'emprunteur»)

Gestion des Clés Publiques (PKI)

Marché public de services REGLEMENT DE CONSULTATION

PROTOCOLE RELATIF À L ARRANGEMENT DE MADRID CONCERNANT L ENREGISTREMENT INTERNATIONAL DES MARQUES

NOTA : article L pour les départements et article L pour les régions.

Parmi elles, deux ont accédé à un statut véritablement mondial et sont aujourd hui entièrement intégrées à l économie mondiale :

Évaluation de la conformité Certification des produits OEM (mise à jour : octobre 2010)

Une formation continue du Luxembourg Lifelong Learning Center / CERTIFICAT

Cahier des charges. Achat sur catalogue MARCHE A PROCEDURE ADAPTEE VILLE DE NICE

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

LOI N portant Code des Postes

plate-forme mondiale de promotion

Demande de Modification d abonnement

Rapport de certification ANSSI-CC-2014/26. SOMA801STM - application EAC, version 1.0

COMMUNAUTE ECONOMIQUE ET MONETAIRE DE L AFRIQUE CENTRALE LA COMMISSION

AVIS D APPEL PUBLIC A LA CONCURRENCE. Objet du marché : Surveillance et entretien des fontaines, bouches et poteaux d incendie.

REGLEMENT DE CONSULTATION (R.C.)

REFERENTIEL DE CERTIFICATION APPLICABLE AUX SEMENCES :

RÈGLES DE FONCTIONNEMENT RELATIVES À LA NÉGOCIATION DANS LA FONCTION PUBLIQUE UNITÉ «FONCTIONNAIRES»

Conseil Économique et Social

DEMANDE D AUTORISATION D UN SYSTEME DE VIDEOPROTECTION

CONTRAT D ABONNEMENT AU SERVICE DE SIGNATURE ÉLECTRONIQUE CERTIMETIERSARTISANAT CONDITIONS PARTICULIÈRES (Version 3.1)

déjà prêts pour mieux vous protéger! Gardez le sourire, nous sommes Nouvelle norme NF EN Certification 10G

Règlement de Fonctionnement

Travaux de Serrurerie

Préfinancement. Tout prévoir pour l imprévu

- Compléter, dater et signer le présent formulaire d adhésion ;

Règlement financier et de Gestion de la F.F.S.B.

Transcription:

P R E M I E R M I N I S T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 19 juin 2017 N 2970 /ANSSI/SDE/PSS/CCN Référence : ANSSI-CC-SUR-P-01_v4.0 PROCEDURE SURVEILLANCE DES PRODUITS CERTIFIES Application : Dès son approbation. Diffusion : Publique. Le directeur général de l agence nationale de la sécurité des systèmes d'information Guillaume POUPARD [ORIGINAL SIGNE] 5 1 b o u l e v a r d d e L a T o u r - M a u b o u r g - 75700 PARIS 07 SP

Suivi des modifications Edition Date Modifications 1 28/10/2003 Création 2 30/08/2005 Modification des conditions d arrêt de la surveillance et de la périodicité 3 19/12/2013 4.0 19/06/2017 Changement de dénomination de l organisme de certification (ANSSI) et améliorations de forme. Mise à jour des références. Prise en compte des produits maintenus dans le cadre du processus de surveillance. Ajout du cas de l évolution des guides. Ajout du cas de l évolution des sites de développement ayant fait l objet d un audit. Ajout de l émission d un rapport de surveillance par l ANSSI. Intégration de l instruction «SUR/I/01.1 Surveillance pour le GIE-CB» qui devient obsolète dès l approbation de cette procédure. Ajout des formulaires concernés par cette procédure Prise en compte du formulaire de satisfaction client En application du décret n 2002-535 du 18 avril 2002, la présente procédure a été soumise au comité directeur de la certification, qui a donné un avis favorable. La présente procédure est disponible en ligne sur le site institutionnel de l'anssi (www.ssi.gouv.fr). 2 / 8 A N S S I - CC- S U R - P - 0 1 _ v 4. 0

TABLE DES MATIERES 1. OBJET DE LA PROCEDURE...4 2. REFERENCES...4 3. DESCRIPTION DE LA PROCEDURE...4 3.1. Portée de la surveillance...4 3.2. Demande de mise sous surveillance...4 3.3. Travaux de surveillance...5 3.4. Décision de surveillance...5 3.5. Arrêt de la surveillance...6 ANNEXE A MODELE DE LETTRE POUR L ARRET DE LA SURVEILLANCE PAR LE COMMANDITAIRE...7 ANNEXE B PROCESSUS SPECIFIQUES DE SURVEILLANCE...8 A N S S I - CC- S U R - P - 0 1 _ v 4. 0 3 / 8

1. Objet de la procédure Cette procédure décrit le processus de surveillance des produits. La surveillance a pour objectif d assurer dans la durée, la confiance dans les produits certifiés et maintenus, ou plus précisément la confiance en leur résistance aux attaques, en tenant compte de l évolution de l état de l art dans le domaine des attaques. La surveillance s inscrit dans le cadre du décret 2002-535 et suit les procédures du système de certification. 2. Références Décret 2002-535 du 18 avril 2002 modifié relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information ; Norme NF EN ISO/CEI 17065 : chapitre 7.9 : Surveillance ; [Compo] : «Common Criteria Supporting Document Mandatory Technical Document Composite product evaluation for Smart Cards and similar devices», référence CCDB- 2012-04-001 version 1.2, Avril 2012 ; [CER-P-01] ANSSI-CC-CER-P-01 - Procédure de certification critères communs de la sécurité offerte par les produits, les systèmes de technologies de l information, les sites ou les profils de protection ; [MAI-P-01] ANSSI-CC-MAI-P-01 - Maintien de la confiance : Continuité de l assurance ; [SUR-F-01] ANSSI-CC-SUR-F-01 - Demande de surveillance ; [QUA-F-03] ANSSI-CC-QUA-F-03 - Formulaire Satisfaction Client. 3. Description de la procédure 3.1. Portée de la surveillance La surveillance porte sur les produits issus de la certification initiale [CER-P-01] ou qui ont été maintenus dans le cadre de la procédure de maintenance [MAI-P-01], associés à leurs guides tels qu identifiés dans les rapports correspondants. 3.2. Demande de mise sous surveillance La surveillance d un produit certifié et de ses éventuelles maintenances peut être demandée par le commanditaire de l évaluation, le développeur des produits ou encore par toute autre personne ayant le consentement du développeur. Par mesure de simplification, seul le terme de «commanditaire» sera utilisé dans la suite du document. Le processus de surveillance peut être initié à tout moment, soit juste après l évaluation, soit plus tard. Seul un centre d évaluation ayant une parfaite connaissance des produits pourra être sélectionné pour mener à bien leur surveillance (typiquement, le centre d évaluation ayant réalisé l évaluation initiale du produit). Pour l enregistrement de la surveillance par l ANSSI, le commanditaire doit renseigner le formulaire de demande de surveillance [SUR-F-01] en y indiquant notamment la périodicité prévue de ces travaux. La signature de ce formulaire signifie l engagement du commanditaire à financer les travaux de surveillance (art. 3 du décret 2002-535) et à prendre en charge les éventuelles livraisons des échantillons des produits au centre d évaluation et au centre de certification. 4 / 8 A N S S I - CC- S U R - P - 0 1 _ v 4. 0

La contre-signature de ce formulaire par le centre d évaluation signifie qu il s engage à assurer une veille technologique sur l état de l art dans le domaine technique associé au produit certifié. 3.3. Travaux de surveillance La surveillance consiste à réaliser de manière périodique des travaux de mise à jour de l analyse de la résistance du produit certifié et de ses éventuelles maintenances. Toutefois, le centre de certification peut à tout moment (sur sa propre initiative ou sur la proposition d un centre d évaluation) demander à ce que l'analyse de la résistance du produit sous surveillance fasse l objet d une mise à jour dans le cadre de la présente procédure (suite, par exemple, à la découverte d une nouvelle attaque académique). Cette analyse de la résistance comprend : une analyse des mécanismes cryptographiques (uniquement si elle avait été initialement effectuée) intégrée à l analyse de vulnérabilité mentionnée ci-dessous ; une analyse de vulnérabilité (en général, au même niveau que celui demandé dans la cible de sécurité du produit certifié) amenant éventuellement à la réalisation de tests de pénétration sur le produit. Evolution des guides L ajout de recommandations de sécurité dans les guides des produits est autorisé dans le cadre de la présente procédure de surveillance. Le commanditaire doit alors fournir lesdites recommandations notamment la mise à jour de la liste de configuration du produit. En ce cas le centre d évaluation doit établir le niveau de résistance des produits dans le cas de la mise en œuvre des nouveaux guides, ainsi que dans le cas de l application des précédents guides. Evolution des sites audités La procédure de maintenance [MAI-P-01] permet la prise en compte de nouveaux sites de développement des produits. Si le centre de certification ou le centre d évaluation le juge nécessaire, le commanditaire fournit des échantillons des produits issus des nouveaux sites de production pour mener les travaux de surveillance. A l issue de son analyse, le centre d évaluation émet un rapport technique de surveillance qui est transmis au centre de certification et au commanditaire. Ce rapport établit le niveau de résistance mis à jour. Le centre d évaluation met également à jour 1 l «ETR for Composite Evaluation», tel que défini dans [Compo], lorsque ce document existe. 3.4. Décision de surveillance Après validation du rapport technique de surveillance (et de l «ETR for Composite Evaluation» le cas échéant), le centre de certification émet un rapport de surveillance, identifiant le(s) niveau(x) de résistance des produits. Ce rapport est ensuite transmis au Directeur général de l Agence nationale de la sécurité des systèmes d information qui le signe par délégation du Premier ministre. Un exemplaire du rapport signé est envoyé au(x) commanditaire(s) mentionné(s) dans la demande de surveillance accompagné du formulaire de satisfaction client [QUA-F-03]. 1 Nouvelle version ou addendum séparé. A N S S I - CC- S U R - P - 0 1 _ v 4. 0 5 / 8

Le centre de certification publie les résultats de la surveillance des produits sur les sites Internet de l ANSSI et des accords de reconnaissance si ceux-ci le permettent uniquement sur demande du commanditaire. D une manière générale, il appartient au commanditaire de signaler à ses clients le résultat des surveillances (sauf dans les cas décrits en Annexe B). 3.5. Arrêt de la surveillance La surveillance s arrête : soit à la demande du commanditaire (voir modèle en Annexe A) ; soit par décision de l ANSSI, en particulier, en l absence de rapport d analyse à la date prévue. 6 / 8 A N S S I - CC- S U R - P - 0 1 _ v 4. 0

Annexe A Modèle de lettre pour l arrêt de la surveillance par le commanditaire A adresser à : Monsieur le Directeur général de l agence nationale de la sécurité des systèmes d information ANSSI 51, boulevard de la Tour-Maubourg 75700 Paris 07 SP France A l attention du Chef du centre de certification Objet : arrêt de la surveillance d un produit certifié Référence : 1) certificat <n de certificat du produit> Monsieur le Directeur Conformément à la procédure ANSSI-CC-SUR-P-01 du schéma français d évaluation et de certification, je vous informe que je mets fin au processus de surveillance du produit cité en référence 1. A <lieu>, le <date> [Nom, titre, signature de la personne habilitée à engager la société, ou mandataire social de la société] A N S S I - CC- S U R - P - 0 1 _ v 4. 0 7 / 8

Annexe B Processus spécifiques de surveillance Pour les produits sous surveillance au titre d autres labels de l ANSSI tels que la qualification ou de l agrément des cartes bancaires par le GIE-CB, il est convenu avec ces donneurs d ordre que : - l ANSSI les avertit de tout arrêt de la surveillance les concernant, si cet arrêt n a pas été demandé par eux ; - à leur demande, l ANSSI leur fournit un état des produits sous surveillance les concernant. 8 / 8 A N S S I - CC- S U R - P - 0 1 _ v 4. 0

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back