sécurité de l'information et gestion des risques informatiques
 
 Accueil 
 Contact 
  
Domaines sécurité
Les enjeux
de la sécurité
Organiser
la sécurité
La gestion
des risques
La continuité
d'activité
Les méthodes
de sécurité
La méthode
Mehari
Les normes
de sécurité

ISO 17799 et BS7799-2

Les aspects juridiques

La sécurité
des échanges

Les types d'attaques

Nos Prestations
Assistance
et conseil
Formations
à la sécurité

La norme ISO 15408

ISO 15408 : « critères d’évaluation de la sécurité des technologies de l’information »

ISO 15408 permet de certifier les niveaux de défense procurés par les composants de sécurité des systèmes d'informations.

Cette norme vise à vérifier si un produit est sécurisé ou pas. Plus exactement, elle affecte au produit évalué un niveau de sécurité sur une échelle de 1 à 7.

ISO/IEC 15408Née en 1996, elle a été rebaptisée "Common Criteria" ou "Critères Communs".

Elle découle d'une convergence progressive entre les normes de l'Orange Book de la NSA (USA), et notamment celles de l'ITSEC en Europe (qui sont elles-mêmes issues de la fusion entre les critères français, allemands et britanniques avec une implication du Canada et du Japon).

Les critères de validation sont communs entre les grands pays industriels : USA, Japon, Canada, Allemagne, Grande Bretagne, France, Italie ... d'où le nom de "Critères Communs".

Les critères communs présentent les exigences concernant la sécurité d’un produit ou d’un système des technologies de l’information sous deux formes distinctes :

  • les exigences fonctionnelles définissent le comportement de sécurité souhaité ; elles décrivent les fonctionnalités de sécurité que peut mettre en œuvre un produit.

  • les exigences d’assurance constituent la base pour acquérir la confiance du fait que les mesures de sécurité sont conformes aux spécifications et sont efficaces.

Les EAL constituent l'échelle d'assurance prédéfinie des "Critères Communs". Il en existe sept niveaux :

  • EAL1 -testé fonctionnellement
  • EAL2 -testé structurellement
  • EAL3 -testé et vérifié méthodiquement
  • EAL4 -conçu, testé et vérifié méthodiquement
  • EAL5 -conçu et testé de façon semi-formelle
  • EAL6 -vérifié, conçu et testé de façon semi-formelle
  • EAL7 -vérifié, conçu et testé de façon formelle
spacer

La reconnaissance des évaluations de sécurité

Il existe un mécanisme de reconnaissance mutuelle entre ces différents pays. C'est-à-dire que le certificat attribué par un pays à un produit est reconnu dans les autres pays.

Cela évite les frais et les pertes de temps qu'entraînerait une revalidation dans chaque pays où le produit est commercialisé.

Bien qu'à l'origine ciblée sur un produit bien délimité (un pare feu, une carte à puce, un boîtier de chiffrement, ...), l'évaluation "critères communs" s'applique maintenant à des assemblages de produits y compris leur exploitation. On parle alors d'évaluation systèmes.

Elle prend alors en compte 2 types d'évaluation:

  • "Boite blanche": évaluation d'un produit (routeur, Gab, carte à puce, ...)

  • "Boite noire": évaluation d'un système (installation), composé de produits déjà évalués ou non.

Utilisation de l'ISO 15408

L'utilité d'une évaluation est surtout de permettre la vente des matériel ou systèmes évalués aux organisations gouvernementales (notamment DOD) et à quelques clients travaillant dans des domaines de haute sécurité.

Ces évaluations coûtent très cher suivant le niveau d'exigence (ou d'assurance) souhaité. Ainsi la certification (EAL 4) de Windows 2000 aurait coûté près de 4 millions de dollars.

Ces coûts de certification (et surtout de gestion des évolutions) est un souvent un frein et nécessite que soit un grand éditeur s'implique (exemple Oracle pour Linux) ou un état (exemple l'état français qui veut bâtir un bâtir un système d'exploitation basé sur Linux qui devra atteindre le niveau EAL 5, coût estimé : 7 millions d'euros).

pix1 pix2 pix3 pix4