Traumatisme

La sécurité informatique dispose d'une norme

L'évolution de la sécurité des systèmes d'information est évoquée régulièrement dans nos colonnes

(voir notamment dans La Lettre des Cindyniques du 23 d'août 1997 l'article sur les Critères Communs pour l'évaluation de la sécurité des systèmes d'information) et une nouvelle étape, prolongation de la situation décrite à l'époque, vient d'être franchie.

Nous reproduisons, ci-après, avec l'autorisation du SCSSI, la partie introductive du texte de la nouvelle norme.

L'ISO (International Organisation for Standardisation, l'organisation internationale pour la normalisation) et l'IEC (International Electrotechnical Commission, la commission internationale électrotechnique) forment le système dédié à la normalisation mondiale. Les organisations nationales qui sont membres de l'ISO ou de l'IEC participent au développement des normes internationales par le biais de comités techniques établis par les organisations respectives pour traiter de domaines particuliers d'activités techniques. Les comités techniques de l'ISO et de l'IEC collaborent dans les domaines d'intérêt commun. D'autres organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et l'IEC, prennent également part au travail.

Dans le domaine des technologies de l'information, l'ISO et l'IEC ont établi un comité technique commun, l'ISO/IEC JTC 1. Les normes internationales provisoires (Draft International Standards) adoptées par le comité technique commun sont mises en circulation dans les organisations nationales pour être soumises à un vote. La publication comme norme internationale (International Standard) nécessite l'approbation d'au moins 75% des organisations nationales ayant voté.

La norme internationale ISO/IEC 15408 a été préparée par le comité technique commun ISO/IEC JTC 1, Technologies de l'Information, en collaboration avec le comité d'édition des critères communs (Common Criteria Implementation Board), une entité qui regroupe des membres des organisations commanditaires du projet Critères Communs (1). Le texte identique à la norme ISO/IEC 15408 est publié par les organisations commanditaires du projet Critères Communs sous le titre Common Criteria for Information Technology Security Evaluation, version 2.1 (Critères Communs pour l'évaluation de la sécurité des technologies de l'information, version 2.1).

La norme ISO/IEC 15408, sous le titre général Critères Communs pour l'évaluation de la sécurité des technologies de l'information, comprend les parties suivantes :

Partie 1 : Introduction et modèle général,
Partie 2 : Exigences de sécurité fonctionnelles,

Partie 3 : Exigences de sécurité d'assurance,

Champ d'application

La présente norme définit des critères, qui pour des raisons historiques et de continuité sont référencés ci-après comme les Critères Communs (Common Criteria, CC), dans le but d'être utilisés comme base pour l'évaluation des propriétés de sécurité des produits et systèmes des Technologies de l'Information (TI). En établissant une telle base de critères communs, les résultats d'une évaluation de la sécurité des TI seront significatif pour une plus large audience.

Elle permettra de comparer les résultats d'évaluations de sécurité menées indépendamment les unes des autres. Cela est rendu possible grâce à un ensemble commun d'exigences pour les fonctions de sécurité des produits et systèmes TI et pour les mesures d'assurance qui leur sont appliquées pendant une évaluation de sécurité.

Le processus d'évaluation établit un niveau de confiance dans le fait que les fonctions de sécurité de tels produits et systèmes et les mesures d'assurance qui leur sont appliquées satisfont à ces exigences.

Les résultats de l'évaluation peuvent aider les acheteurs à déterminer si le produit ou le système TI est suffisamment sûr pour l'application qu'ils envisagent et si les risques liés à la sécurité qui sont implicites dans son utilisation sont tolérables.

La norme sera utile en tant que guide pour le développement des produits ou systèmes incluant des fonctions de sécurité des TI et pour l'approvisionnement de produits ou systèmes commerciaux dotés de telles fonctions. Pendant l'évaluation, un tel produit ou système TI est qualifié de cible d'évaluation ou TOE (Target Of Evaluation). De telles TOE peuvent être, par exemple, des systèmes d'exploitation, des réseaux informatiques, des systèmes distribués et des applications.

La norme traite de la protection des informations contre leur divulgation, modification ou perte d'usage non autorisés. Les types de protection vis-à-vis de ces trois sortes de défaillances de sécurité sont dénommées dans la pratique respectivement confidentialité, intégrité et disponibilité. Cette norme peut s'appliquer en outre à d'autres aspects de la sécurité des TI. Elle est focalisée sur les menaces (qui pèsent sur ces informations) générées par des activités humaines, qu'elles soient mal intentionnées ou non, mais peut aussi bien s'appliquer à des menaces non liées à l'homme. De plus, cette norme peut être utilisée dans d'autres domaines des TI mais elle ne prétend pas apporter de compétences particulières en dehors du domaine strictement limité à la sécurité des TI .

Elle s'applique aux mesures de sécurité des TI implémentées dans du matériel, des micropro-grammes ou des logiciels. Lorsque des aspects particuliers de l'évaluation sont destinés à ne s'appliquer qu'à certaines méthodes d'implémentation, cela est indiqué dans les critères concernés.

On considère que certains sujets sont en dehors du champ d'application de cette norme parce qu'ils impliquent l'utilisation de techniques spécialisées ou parce qu'ils sont situés à la périphérie de la sécurité des TI.

Quelques uns d'entre eux sont identifiés ci-dessous.

a) Cette norme ne contient pas de critères d'évaluation de la sécurité relatifs à des mesures de sécurité administratives non liées directement aux mesures de la sécurité des TI. Il est cependant admis qu'une part significative de la sécurité d'une TO E peut souvent être obtenue au moyen de mesures administratives telles que des contrôles organisationnels, relatifs au personnel, physiques et procéduraux.

Les mesures de sécurité administratives mises en oeuvre dans l'environnement opérationnel de la TOE sont considérées comme des hypothèses d'utilisation sûre quand elles ont un impact sur la capacité des mesures de sécurité des TI à contrer les menaces identifiées.

b) L'évaluation d'aspects physiques techniques de la sécurité des TI tels que le contrôle des rayonnements électromagnétiques n'est pas spécifiquement couverte, bien que nombre des concepts traités soient applicables à ce domaine. En particulier, cette norme aborde certains aspects de la protection physique de la TOE .

c) La présente norme ne traite ni de la méthodologie d'évaluation, ni du cadre administratif et légal dans lequel les critères peuvent être utilisés par les autorités d'évaluation. Il est cependant prévu que cette norme soit utilisée dans un but d'évaluation dans le contexte d'un tel cadre et d'une telle méthodologie.

d) Les procédures d'utilisation des résultats d'éva-luation pour l'homologation de produits ou de systèmes sont en dehors du champ d'application de cette norme. On appelle homologation de produits ou de systèmes le processus administratif par lequel une autorité se voit accorder le droit d'exploiter un produit ou système TI dans son environnement opérationnel complet. L'évaluation se focalise sur les parties relatives à la sécurité des TI du produit ou du système et des parties de l'environnement opérationnel qui peuvent affecter directement l'utilisation sûre des éléments TI. Les résultats du processus d'évaluation constituent en conséquence un paramètre intéressant pour le processus d'homologation. Cependant, comme il existe d'autres techniques plus appropriées pour l'estimation des propriétés de sécurité du produit ou du système non liées aux TI et de leur relation avec les parties relatives à la sécurité des TI, les homologateurs devraient traiter ces aspects séparément.

e) Le sujet des critères pour estimer les qualités inhérentes aux algorithmes cryptographiques n'est pas couvert par cette norme. S'il est nécessaire de faire une estimation indépendante des propriétés mathématiques des fonctions cryptographiques embarquées dans une TOE, les dispositions correspondantes devront être prévues dans le schéma d'évaluation dans le cadre duquel est appliquée cette norme.

Les concepts clés

Les critères communs s'appuient sur un cadre hiérarchique de concepts de sécurité :

lEnvironnement de sécurité c'est à dire l'ensemble des lois , règlements et politiques qui définissent le contexte dans lequel le TI sera utilisé,
Objectifs de sécurité; ou quels sont les besoins de sécurité des TI qui ont été exprimés,
Définition d'une cible d'évaluation (Target of evaluation - TOE )
Spécifications de sécurité pour la TOE - Exigences attendues tant en terme de fonctionnalités qu'en
terme d'assurance (confirmation que les fonctions souhaitées sont remplies selon des méthodes d'analyse plus ou moins complètes)
Implémentation de la TOE

Ces éléments vont permettre alors de procéder aux évaluations pour vérifier si les défenses du système envisagé sont en conformité avec les objectifs attendus .

Pour mémoire, il existe actuellement 12 exigences fonctionnelles et 10 exigences d'assurance.

Les exigences d'assurance sont testées selon 7 méthodes (depuis le test fonctionnel jusqu'à la vérification de la conception de façon formelle (application de méthodes mathématiques) et test du résultat obtenu).

Des évaluations ont déjà été conduite pour des circuits imprimés pour cartes à puce, des firewalls à niveau de protection élevée, pour les échanges de données informatisées, pour les outils de sécurisation des messages et pour les infrastructure de gestion de clés.

L'intégralité du texte se trouve en format autochargeable sur le site du Service Central de la Sécurité des Systèmes d'Information (www. s c s s i . g o u v. f r ) .

Nous pouvons, en fonction des demandes, organiser des rencontres avec ce service officiel pour approfondir les éléments apportés par ce texte. Si vous avez besoin de compléments d'information, il est possible de contacter l'auteur qui suit cette évolution depuis de nombreuses années.

Gérard Bouget

(GBT Conseils )

Administrateur I E C

1- Les organismes qui ont créé les critères communs

- Allemagne : Bundesamt für Sicherheit in der Informationstechnik

- Canada : Communications Security Establishment

- Etats-Unis : National Institute of Standards and Technology et National Security Agency

- France : Service Central de la Sécurité des Systèmes d ' Information

- Pays-Bas : Netherlands National Communications Security Agency

- Royaume Uni : Communications-Electronics Security Group