L évaluation à haut niveau d assurance



Documents pareils
Évaluation et Certification Carlos MARTIN Responsable du Centre de Certification de la Sécurité des Technologies de l Information

Evaluation, Certification Axes de R&D en protection

Rapport de certification PP/0002

TOTAL STREAM PROTECTION IS THE KEY. Les critères communs et la certification. Christian Damour Yann Berson

La politique de sécurité

Organisme de certification de personnes et d entreprises. Certification en technologies de l information et monétique.

Rapport de certification PP/0101

Démarches de sécurité & certification : atouts, limitations et avenir

Les perspectives de la maintenance de l assurance sécurité

DECLARATION DES PERFORMANCES N 1

Rapport de certification

Rapport de certification

Auditabilité des SI et Sécurité

Christophe Pagezy Directeur Général Mob:

Analyse statique de code dans un cycle de développement Web Retour d'expérience

FedISA Congrès 2013 Table ronde du 17 mai "Certification d'un SAE*, normes et référentiels"

AUDIT ÉNERGÉTIQUE ET SYSTÈMES DE MANAGEMENT DE L ÉNERGIE ISO 50001: Quels sont les liens et comment évoluer de l un à l autre?

Mettez. du conseil à votre actif

Offres de stages 2011/2012

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

MEMENTO Version

Rapport de certification

La gestion documentaire les bases d'un système de management de la qualité


REF01 Référentiel de labellisation des laboratoires de recherche_v3

Panorama général des normes et outils d audit. François VERGEZ AFAI

JEAN-LUC VIRUÉGA. Traçabilité. Outils, méthodes et pratiques. Éditions d Organisation, 2005 ISBN :

Rapport de certification

CATALOGUE DE PRESTATIONS SOLUTIONS GMAO. performed by PYC : Pierre-Yves COLLIN

Rapport de certification

LA QUALITE DU LOGICIEL

Rapport de certification ANSSI-CC-2012/47. EJBCA, version 5.0.4

Rapport de certification

Food Safety System Certification fssc 22000

QUALIMS est votre solution!

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Rapport de certification DCSSI-2009/16. Logiciel OpenTrust PKI version 4.3.4

LA VERSION ELECTRONIQUE FAIT FOI

Rapport de certification ANSSI-CC-2013/17. Suite logicielle IPS-Firewall pour boîtiers NETASQ, version

Excellence. Technicité. Sagesse

Introduction à l ISO/IEC 17025:2005

Laboratoire Eau de Paris. Analyses et Recherche

Des solutions d affaires, performantes et évolutives

Rapport d évaluation de la licence professionnelle

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

3 - Sélection des fournisseurs Marche courante Conditionnement Transport Livraison... 5

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Testeur Agile Niveau Fondation Bertrand Cornanguer, Vice-chair Agile tester WG

Développement itératif, évolutif et agile

Rapport de certification

PREFET DES BOUCHES-DU-RHONE

ATTESTATION D ACCREDITATION ACCREDITATION CERTIFICATE. N rév. 2

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Rapport de certification

ALDEA ET SYSTEMES D INFORMATION

Rapport de certification

Audit interne. Audit interne

Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC

Rapport de certification ANSSI-CC-2013/64

Prestations d audit et de conseil 2015

LA VERSION ELECTRONIQUE FAIT FOI

CHARTE R.S.E. Responsabilité Sociétale d'entreprise

2012 / Excellence. Technicité. Sagesse

Les Fibres naturelles pour les architectes - La réaction au feu des matériaux à base de fibres naturelles

Audit COFRAC sur site : un examen détaillé pour la réussite de votre accréditation!

1. Le m-paiement. 2. Le régime juridique du m- paiement. 3. Le m-paiement et les failles de sécurité

DEVELOPPEMENT ET MAINTENANCE DE LOGICIEL: OUTIL DE PILOTAGE

Journée des administrateurs des laboratoires CNRS INSIS

Rapport de certification PP/0308. Profil de protection «Cryptographic Module for CSP Signing Operations with Backup» Version 0.28

P s a sep e o p r o t S e S r e vi v ce c s Fabrice Dubost

L Intégration Continue & Agilité

Test et Validation du Logiciel

Présentation à la Direction des Santé Achats de la Société Générale. Asurances, soins, biens médicaux

POLITIQUE ET LIGNES DIRECTRICES EN MATIERE DE TRACABILITE DES RESULTATS DE MESURE

Analyse et Conception objet du logiciel Analyse et conception objet du logiciel : Méthode de conception objet et notation UML.

ACCUEIL ET CONVIVIALITE DANS LA RESTAURATION Réf : R 01

Rapport de certification

Rapport de certification 2002/08

Rapport de certification

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

NOUVEAU COMPATIBLE COFRAC. Validez la conformité de vos échantillons en un seul geste. Le tube témoin enregistreur de température

ISFA INSTITUT DE SCIENCE FINANCIÈRE ET D ASSURANCES GRANDE ÉCOLE D ACTUARIAT ET DE GESTION DES RISQUES

Logiciels de Gestion de Projet: Guide de sélection

CONVENTION ASSURANCE QUALITÉ (QAA) FONCTION NÉGOCIANT

Rapport de certification

Les signes de qualité des entreprises du bâtiment

Politique de Référencement Intersectorielle de Sécurité (PRIS)

HSP Preferred Partner Program

Cloud Computing Foundation Certification Exin

Qu'est-ce que la normalisation?

Procédure pour les Universités et écoles étrangères Demande d évaluation éventuellement

FICHE EXPLICATIVE Système de management de l Énergie (SMÉ)

Rapport de certification

ACCREDITATION CERTIFICATE. N rév. 5. CNPP CERT Route de la Chapelle Réanville SAINT MARCEL CEDEX SIREN :

INTRODUCTION A LA CERTIFICATION DE LA SÉCURITÉ DES TECHNOLOGIES DE L INFORMATION. Natalya Robert 23 janvier UPMC

Transcription:

L évaluation à haut niveau d assurance Agréé DCSSI Vos contacts : ACCREDITATION N 1-1528 Section Laboratoires Christophe ANIER (Responsable Technique du CESTI) christophe.anier@aql.fr Christian DAMOUR (Resp. Centre Opérationnel SSI) christian.damour@aql.fr Port ée communiquée sur demande Présentation : Christophe ANIER (Responsable Technique du CESTI) christophe.anier@aql.fr Le C.E.S.T.I. Agréé DCSSI Centre d Evaluation Sécurité Technologies Information de la des de l ACCREDITATION N 1-1528 Section Laboratoires DCSSI Port ée sur www.cofrac.fr Réalise Évaluations ITSEC ou Critères Communs Expertise selon les Critères Communs Rédaction de fournitures Formation, Conseil et Assistance 1

CESTI-AQL Un laboratoire d'évaluation de la sécurité Créé en 1992 à Cesson-Sévigné (Rennes) Le plus ancien de France Intègre Groupe Silicomp en mai 2000 Intègre France Telecom en 2007 Aujourd'hui 14 Évaluateurs permanents Indépendance garantie par le COFRAC (ISO17025) Certificats émis par l Etat français Reconnaissance mutuelle mondiale L évaluation d un produit de sécurité avec les Critères Communs Pour les Utilisateurs : Une manière de définir les «besoins de sécurité» pour des produits/systèmes et permettre la vérification de la conformité. Pour les Développeurs / Éditeurs : Une manière de décrire les capacités de s écurité de leurs produits/systèmes. Pour les CESTI : Un outil permettant de mesurer la confiance qu on peut atteindre dans les caractéristiques de s écurité d un produit/système. 2

Que recherche l évaluateur? L assurance sécurité porte sur 3 aspects - La conformité du produit par rapport au besoin de sécurité défini dans la cible de sécurité, - L efficacité des mesures mise en œuvre, - La confiance dans le processus du développeur => Utilisation des Critères Communs d'évaluation (ISO 15408) Les niveaux d assurance Les niveaux d'assurance sont définis dans la partie 3 des CC EAL1 : testé fonctionnellement EAL2 : testé structurellement EAL3 : testé et vérifié méthodiquement EAL4 : conçu, testé et vérifié méthodiquement EAL5 : conçu de façon semi-formelle et testé EAL6 : conception vérifiée de façon semi-formelle, et testé EAL7 : conception vérifiée de façon formelle, et testé Plus le niveau est élevé, plus il y a d exigences. 3

Les exigences d assurances Permettent d acquérir la confiance dans le produit par rapport au besoin de sécurité défini dans la cible de sécurité. Lors d une augmentation du niveau d assurance, il y a : Une augmentation des exigences Une augmentation des vérifications faites par l évaluateur Une prise en compte d attaquant à un potentiel plus élevé Une augmentation de l assurance que le produit est conforme au besoin. Les potentiels d'attaque Dans la version 3.1 des Critères Communs, Il y a 5 niveaux de résistance : Vulnérabilités Publiques (AVA_VAN.1) Attaque élémentaire (AVA_VAN.2) Attaque élémentaire renforcée (AVA_VAN.3) Attaque moyenne (AVA_VAN.4) Attaque élevée (AVA_VAN.5) Pour mémoire, en v2.3, il y a seulement 4 niveaux (AVA_VLA.1 à AVA_VLA.4) 4

Les potentiels d attaque Au cours du processus d évaluation, l évaluateur estime : Les moyens matériels, Le temps, La connaissance du produit, L expertise technique, L'opportunité nécessaire, Nécessaire pour la réalisation d une attaque Les niveaux d'assurance élevés Sont considérés comme élevés les niveaux d'assurance suivants : EAL4 EAL5 EAL6 EAL7 : conçu, testé et vérifié méthodiquement : conçu de façon semi-formelle et testé : conception vérifiée de façon semi-formelle, et testé : conception vérifiée de façon formelle, et testé 5

Le niveau EAL4 Une visibilité complète du produit (boite blanche) Ce niveau impose pour les fonctions de sécurité : Des spécifications complètes Une conception rigoureuse Un audit d un échantillon de l implémentation (Code source) Des guides d utilisation et d administration complets Des tests d intégration et de validation Une maitrise de son cycle de développement Une résistance à un potentiel d attaque élémentaire renforcé 24 Composants d'assurance 110 exigences Le niveau EAL5 Une spécification semi-formelle Ce niveau impose pour les fonctions de sécurité : Des spécifications Semi-formelles complètes Une conception préliminaire semi-formelles Une conception détaillée modulaire pour les FS Un audit d une partie de l implémentation L utilisation de standards de codage Des guides d utilisation et d administration complets Des tests unitaires, d intégration et de validation Une maitrise complète de son cycle de développement Une résistance à un potentiel d attaque moyen 25 Composants d'assurance 118 exigences 6

Le niveau EAL6 Une conception semi-formelle Ce niveau impose pour les fonctions de sécurité : Des spécifications Semi-formelles complètes Une spécification formelle des politiques de sécurité implémentées Une conception préliminaire semi-formelle Une conception détaillée modulaire complète Un audit complet de l implémentation Des guides d utilisation et d administration complets Des tests unitaires, d intégration et de validation Une maitrise complète de son cycle de développement (COTS inclus) Une résistance à un potentiel d attaque élevé 26 Composants d'assurance 122 exigences Le niveau EAL7 Une spécification formelle Ce niveau impose pour les fonctions de sécurité : Des spécifications formelles Une spécification formelle des politiques de s écurité implémentées Une conception préliminaire formelle Une conception détaillée semi-formelle complète Un audit complet de l implémentation Des guides d utilisation et d administration complets Des tests complets du code source avec démonstration de couverture Des tests indépendants de l évaluateur complets Une maitrise complète de son cycle de développement (COTS inclus) (mesure de la qualité) Une résistance à un potentiel d attaque élevé 26 Composants d'assurance 126 exigences 7

Les expériences aujourd hui EAL5 : Beaucoup de produits en cours (tout domaine) Environ 50 produits certifiés dans le monde (majoritairement des SmartCard) EAL6 et EAL7 : 2 produits certifiés complètement Certains produits atteignent de haut niveau d assurance sur une partie du produit : Augmentation des composants issus du niveau EAL 6 ou 7 Partie bien délimitée du produit (JVM par exemple) Merci de votre attention 8

Questions / Réponses 9

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back