LES CRITERES COMMUNS POUR L'EVALUATION DE LA SECURITE DES SYSTEMES D'INFORMATION

 

Six pays (Allemagne, Canada, France, Grande Bretagne, Pays Bas et USA) se sont concertés pour déterminer une approche commune de la Sécurité des Systèmes d'Information (S.S.I.).

Cette révolution peut amener les entreprises à gérer les risques liés aux systèmes d'information avec une sorte d'"espéranto" de la sécurité. Si les recherches liées à la disponibilité des systèmes, l'intégrité et la confidentialité des données sont parties intégrantes de toutes études de S.S.I., rien jusqu'à ces derniers temps ne permettait d'évaluer concrètement la S.S.I avec une approche commune et reconnue, quelque soit le pays d'implantation, prenant en compte tant l'environnement technique ( la "quincaillerie" et les "ficelles") que les conditions d'usage liées à chaque flux d'informations dans l'entreprise.

Ces critères communs vont devenir, en quelque sorte, le "mètre-étalon" de la Sécurité des Systèmes d'Information. Ceci grace à une universalité de lecture

Sur cette approche audacieuse, il importe, au préalable, de définir quelques termes :

• Système d'information : c'est l'utilisation pratique d'une information au travers de son traitement par un ordinateur de quelque nature qu'il soit. Nous pouvons citer les autocommutateurs téléphoniques, les automates de surveillance, les "robots", les ordinateurs "gestionnaires" de chaînes de fabrication. La Sécurité des Systèmes d'Information (S.S.I.) relève de l'adéquation en l'installation d'un matériel informatique (quel qu'il soit : ordinateur de gestion, de "process", automate industriel, autocommutateur téléphonique, ...) et son environnement d'utilisation.
• Cible de sécurité : combinaison des objectifs de sécurité (fonctionnels et d'assurance en terme de garantie de bon fonctionnement) qui servira de base à une évaluation.
• Cible d'évaluation : résultat d'une évaluation qui sera confrontée à la cible de sécurité.

Historique

Les Critères Communs d'Evaluation relatifs à la Sécurité des Systèmes d'Information représentent donc le résultat d'une série d'efforts menés pour développer des éléments d'appréciations reconnus par la communauté internationale.

Au début des années 1980, les Etats-Unis ont proposé le "Trusted Computer System Evaluation Criteria" (TCSEC appelé généralement "Orange Book"). Ce document, d'origine militaire, s'avérait peu applicable à un environnement "commercial" et traitait essentiellement de la capacité d'un appareil à être étanche à des attaques.

Une application française a utilisé cette base pour permettre des évaluations dans un contexte applicatif propre (le traitement de la monétique). La méthode MEPS (Méthode d'Evaluation de Produits de Sécurité), développée à la demande du Groupement des Cartes Bancaires, faisait le lien entre la "quincaillerie" et l'usage de ce matériel.

Dans la majorité des cas, la conduite d'une étude de sécurité pour l'installation d'un matériel sensible s'effectuait en 2 phases : une phase d'analyse de risque à l'aide d'une méthode (par exemple : MARION, MELISA,...) et le choix d'un ordinateur disposant de capacités de sécurité évalué selon les critères du TCSEC. Il n'existait pas de lien entre les deux démarches.

Conscient de cette lacune, des pays européens (Allemagne, Grande Bretagne, France et Pays Bas) ont, sous le couvert de la Communauté Européenne, proposé en 1991 une approche intégrant tant les qualités des outils utilisés que le contexte d'utilisation. Cette approche (Information Technology Security Evaluation Criteria - ITSEC) a ouvert la voie à d'autres études. Le Canada a produit, en 1993, le CTCPEC (Canadian Trusted Computer Evaluation Criteria) qui est une combinaison des ITSEC et du TCSEC. Et, dans le même esprit de synthèse, un projet de critères fédéraux a été proposé en 1993 par les Etats-Unis (FC - Federal Criteria for Information Technology Security).

Parallèlement, l'ISO (International Organisation for Standardisation) a initié en 1990 une démarche pour développer un standard d'évaluation pour un usage général. (Groupe de travail 3, Sous comité 27).

En juin 1993, les auteurs du CTCPEC, du FC, du TCSEC et du ITSEC ont décidé d'unir leurs efforts pour aligner leurs critères et créer un projet de Critères Communs. Les orientations de ces travaux sont de résoudre les différences identifiées tant conceptuelles que techniques entre les approches et de délivrer une contribution à l'ISO pour faciliter le développement d'un standard international.

La première écriture a débouché en janvier 1996 et a bénéficié d'une diffusion auprès des spécialistes afin de recueillir leurs commentaires.

Essayons après cet historique de définir plus précisèment les critères communs. De tous temps, en informatique du moins, les études de sécurité ont été conduites de diverses façons; quelquefois prises en charge dès la conception mais le plus souvent, rajoutées selon un schéma qui pourrait ressembler à celui-la :

Et ce généralement sans tenir compte du contexte d'utilisation des équipements informatiques...

Les critères communs souhaiter "imposer" une réflexion plus organisée telle que démontrée ci-après

Ils doivent donc conduire à rationaliser les approches et la détermination des besoins de sécurité des systèmes d'information.

Trois familles de "clients" potentiels ont été identifiées. Il s'agit :

• Des Utilisateurs qui peuvent recourir aux Critères Communs pour évaluer un produit et/ou un service en fonction de leurs besoins de sécurité.

  Dans ce cas, les critères communs jouent un rôle important pour permettre aux utilisateurs d'identifier des techniques de définition de besoins de sécurité adaptés à leurs besoins organisationnels.

  Ils servent de base à l'élaboration du référentiel nécessaire pour permettre l'évaluation de la solution proposée (ou mise en place) dans le cadre d'un "objectif de sécurité" (Target of Evaluation - TOE).

  Cette "TOE" permettra à l'utilisateur de sélectionner parmi les fournisseurs ceux qui fonctionnellement présentent la plus grande part des fonctionnalités attendues.

• Des Développeurs qui trouveront dans les Critères Communs un cahier des charges pour identifier les besoins élémentaires de sécurité et les appliquer à leur production.

  Les écarts entre une offre produit et les attentes de fonctionnalités de la clientèle pourront ainsi être mieux analysés et permettront aux développeurs de mieux cerner les ajustements à effectuer pour que l'Utilisateur puisse obtenir des solutions satisfaisantes.

• Des Evaluateurs par défaut qui pourront vérifier la conformité entre l'expression des besoins de sécurité (la TOE) et la réalisation de la solution proposée (ce, indépendamment des mesures non techniques que l'utilisateur devra prendre en charge comme la formation, les procédures,...).

D'autres personnes sont intéressées par l'application des Critères Communs. Il s'agit des responsables techniques de sécurité (ingénieurs "système", architecte sécurité réseau), des auditeurs ainsi que les organismes responsables des programmes d'évaluation qui pourront vérifier la conformité entre l'expression des besoins de sécurité (la TOE) et la réalisation de la solution proposée (ce, indépendamment des mesures non techniques que l'utilisateur devra prendre en charge comme la formation, les procédures, ...).

Utilisation des Critères Communs

Il est clair que chaque système a besoin, en fonction de sa mission ou de son usage, de fonctionnalités de sécurité.

L'Approche des Critères Communs peut se résumer en une approche par couche.

La première étape permet, globalement, d'avoir une référence du contexte de l'évaluation projetée (vision générale de la méthodologie),

La seconde étape permet d'établir et de définir l'état des exigences des fonctions de sécurité attendues (pourquoi),

La troisième étape permet de définir le niveau de garantie attendu par l'utilisateur du système,

La quatrième consistera en la rédaction et la formulation des exigences en fonction du niveau de "dureté" espéré (comment),

Enfin la dernière permettra de définir le contexte de protection ( qu'est ce que je veux absolument protéger et dont je souhaite qu'une validation soit effectuée).

Cette approche est détaillée dans les 5 manuels (et le CéDéRom) que la Communauté Européenne a mis à disposition des spécialistes.

Partant de ces orientations générales, chaque acteur agira en fonction de sa mission. La construction du système sera du ressort du développeur et les Critères Communs serviront à faciliter la communication entre celui-ci et l'utilisateur afin de lui permettre de formuler ses spécifications selon une organisation et dans un langage que l'utilisateur pourra comprendre. L'évaluateur, lui, partant des travaux de l'utilisateur déterminera quelles sont la nature et la dureté des contrôles qu'il sera amené à exercer pour mener à bien ses travaux de certification.

Les critères communs sont un guide pour le développement (ou le contrôle) de produits ou de systèmes commerciaux ayant des fonctionnalités de sécurité reconnues et attestées.

Le produit (ou le système) comprend la machine, le système d'exploitation, les réseaux, les systèmes distribués et les applications utilisées. Ce dernier point est très important : on certifie une machine en fonction de l'usage pour lequel elle est prévue et non pas seulement sur ses qualités intrinsèques.

Les Critères Communs ne couvrent ni l'ensemble des mesures administratives de sécurité (procédures d'habilitation, formation, ...), ni les aspects de sécurité physique dans lesquels le système sera installé.

Ces aspects doivent être traités par d'autres méthodes d'évaluation mais les résultats de ces évaluations doivent permettre de préciser la cible de sécurité du système attendu.

Cette démarche doit être constante et prendre en compte tous les paramètres depuis l'expression d'un besoin de système jusqu'à la réalisation effective.

 

J'espère avoir permis une approche de cette méthodologie universelle qui, à terme, permettra à tous les utilisateurs de systèmes ayant des contraintes de sécurité importantes de trouver des éléments de spécifications, de communication. Cette démarche leur permettra, en plus, de faire valider par un tiers indépendant leur système pour obtenir une certification prouvant que le système est conforme aux exigences qu'ils ont formulées.

Un réseau d'organismes de contrôle est en train de se constituer sous la responsabilité du Service Central de la Sécurité des Systèmes d'Information (SCSSI).

Je me tiens à votre disposition pour vous fournir toutes informations complémentaires et, si la demande le justifie, organiser une réunion sur le sujet avec des responsables du SCSSI, créer un groupe de travail, le cas échéant.

Gérard BOUGET

       

 © Institut Européen de Cindyniques- Lettre n° 23 - Août 1997