Systèmes concernés par les Critères Communs

Les systèmes et produits concernés sont, bien sûr, ceux consacrés à la sécurité des systèmes d'information :

• anti-virus
• authentification, PKI/KMI
• contrôle biométrique,
• firewalls
• IDS
• systèmes d'accès

...mais aussi les dispositifs dédiés aux communications :

• gestionnaires de réseaux,
• routeurs, switchs, hubs,
• VPN

...voire les OS eux-mêmes.

Niveaux de l’évaluation

La certification propose 7 niveaux d’assurance de l’évaluation - EAL (Evaluation Assurance Level) :

• EAL1 à EAL4 : qui correspondent à des systèmes courants de bonne qualité et à la mise en oeuvre de bonnes pratiques.
• EAL5 à EAL7 : qui correspondent à des systèmes conçus avec une démarche et des méthodes de sécurisation particulièrement poussées.
• EAL7 : répond notamment à des problématiques de stratégie nationale de sécurité.

Dans le détail, les 7 niveaux sont les suivants :

• EAL1 : testé fonctionnellement.
• EAL2 : testé structurellement
• EAL3 : testé et vérifié méthodiquement.
• EAL4 : conçu, testé et vérifié méthodiquement.
• EAL5 : conçu de façon semi-formelle et testé.
• EAL6 : conception vérifiée de façon semi-formelle et testé.
• EAL7 : conception vérifiée de façon formelle et testé.

Le distinguo, a priori subtil, entre conçu méthodiquement et de façon semi-formelle ou formelle, réside dans l'emploi ou non de techniques d'ingénierie sécurisée avérées.

TOE (Target Of Evaluation)

Chaque certification concerne une cible précise (désignation du système ou du périmètre précisément concerné par la certification). Une telle cible peut être, par exemple :

• un système d’exploitation,
• un réseau informatique,
• une application.

La cible est libre, c'est le demandeur qui la définit. Elle peut être décrite soit par un constructeur, soit par toute autre organisation (entreprise cliente, pays, administration) qui demande la certification d'un produit.
Chaque certificat possède sa propre cible d'évaluation, nommée TOE (Target Of Evaluation).

Composants

La politique de sécurité est décrite à l'aide de composants qui constituent des ensembles d'exigences de sécurité.
On trouve des composants fonctionnels (exigences fonctionnelles) et des composants d'assurance (garanties apportées).

Par exemple, une famille de composants est dédiée à la protection des données de l'utilisateur, une autre à la gestion de la configuration.

PP (Protection Profile)

Pour guider les concepteurs et les évaluateurs, il existe des ensembles de critères prédéfinis : les profils de protection (près de 1000).
Un PP définit un ensemble d'objectifs et d'exigences pour une catégorie de produits.
Par exemple, le CELAR (DGA) a rédigé un profil pour firewall à protection élevée pour interconnecter deux réseaux ayant des politiques de sécurité différentes. Le niveau visé est EAL5+.

ST (Security Target)

Le ST (Security Target) contient la description des menaces et des objectifs de sécurité du produit à certifier. Il indique comment on veut évaluer le produit et jusqu'où on veut aller en sécurité.
Le ST est rédigé à partir de PP

Qui attribue la certification

En France, il existe 6 CESTI (Centre d'Evaluation de la Sécurité des Technologies de l'Information), qui sont chargés de l'évaluation :

• Algoriel
• AQL (SIlicomp)
• CEA LETI
• CEACI
• Oppida
• Sema technologies

Au final, c'est la DCSSI qui valide l'agrément et délivre le certificat.

Le projet Mélèze

A l'initiative du gouvernement français, le projet Mélèze vise à définir les critères de niveau de sécurité EAL2+ pour les sociétés et les organismes liés aux projets gouvernementaux. A terme, le projet devrait déboucher sur une norme nationale AFNOR.
Ce projet vise à définir un PP validé par la DCSSI

Pérennité de la certification

Chaque élément du système d'information doit être régulièrement mis à jour, parfois lors même de son installation. Il est donc important de s'assurer que la certification aux Critères Communs restera valide au fil du temsp. En effet, si la version précédemment possédée était bien certifiée Critères Communs, la nouvelle version risque de ne plus l'être, chaque procédure de certification pouvant se révéler longue et coûteuse pour le fournisseur.
Pour éviter ce problème, une procédure spéciale lui permet de conserver la certification lors de l'évolution des produits : l'assurance continuity. Elle met en action :

• des audits réguliers pour les mises à jour de produit (plusieurs niveaux de test pour vérifier qu'une modification n'introduit pas de vulnérabilité).
• le CMS (Certificate Maintenance Scheme) qui décrit les process de mise à jour.

Pourquoi faire cette démarche

Cette démarche est entreprise par un fournisseur (ou par n'importe quel organisme) pour démontrer un niveau de sécurité et valider que, à ce moment, le produit correspond.
La validation peut être :

• seulement théorique (méthodes de travail, sécurité des locaux, des développements
• également physique : vérification physique (visite des locaux )

La certification correspond à un avantage concurrentiel en matière de sécurité. Cette validation a le mérite d'être internationale.
Elle ne constitue pas un but en soit : elle permet en se basant sur la TOE, les Profils de Protection utilisés de comparer le niveau de sécurité des différents produits envisagés dans une architecture. Dans le cadre de cette comparaison, il est donc très important de connaître ce qui se "cache" derrière le niveau atteint en terme de certification (EAL2 ou EAL4+ par ex). Pour cela il faut lire la cible de l'évaluation (ces documents sont publics).