Critères communs

Un article de Wikipédia, l'encyclopédie libre.

Common Criteria (CC) est un standard international (ISO/CEI 15408) pour la sécurité des systèmes d'information. Le nom complet du standard est Common Criteria for Information Technology Security Evaluation. En français, on emploie souvent l'expression Critères communs.

Sommaire 1 Concepts clés 2 Systèmes concernés 3 Niveaux de l'évaluation 4 Mise en œuvre en France 5 Mise en œuvre en Europe 6 Mise en œuvre aux États-Unis 7 Voir aussi 8 Liens externes

[modifier] Concepts clés

• TOE : objet à certifier

(TOE = Target of Evaluation)

• SFR : spécifications fonctionnelles de sécurité

(Security fonctional requirements)

• PP : Profil de Protection

(PP = Protection profile)

• ST : cible de sécurité

(ST = Security Target)

[modifier] Systèmes concernés

Les systèmes d'exploitation ("Operating Systems")

Les dispositifs dédiés aux communications :

• Gestionnaires de réseaux,
• Routeurs, commutateurs réseau ("switchs"), hubs,
• Les réseaux privés virtuels (VPN).

Les systèmes consacrés à la sécurité informatique

• Les systèmes d'accès (accès internet,...)
• Les systèmes d'authentification, infrastructure à clés publiques (PKI)/KMI
• Les pare-feux (firewalls)
• Les systèmes de détection d'intrusion (IDS)
• Les logiciels anti-virus
• Les contrôles biométriques.

[modifier] Niveaux de l'évaluation

La certification propose 7 niveaux d'assurance de l'évaluation.

• EAL1 : testé fonctionnellement
• EAL2 : testé structurellement
• EAL3 : testé et vérifié méthodiquement
• EAL4 : conçu, testé et vérifié méthodiquement,
• EAL5 : conçu de façon semi-formelle et testé
• EAL6 : conception vérifiée de façon semi-formelle et testé
• EAL7 : conception vérifiée de façon formelle et testée.

[modifier] Mise en œuvre en France

C'est la DCSSI qui applique le schéma de certification français. Cet organisme, rattaché au Premier Ministre, est en charge de la certification des produits évalués par les CESTI.

[modifier] Mise en œuvre en Europe

En Europe, l'Information Technology Security Evaluation Criteria (ITSEC) est un standard pour la sécurité des systèmes d'information, qui s'intéresse plus particulièrement à la politique de sécurité des systèmes d'information.

L'ITSEC est le produit du travail commun de plusieurs pays de l'Union Européenne, en 1991.

Voir : Information Technology Security Evaluation Criteria (ITSEC)

[modifier] Mise en œuvre aux États-Unis

Aux États-Unis, les critères d'évaluation sont définis par le département de la défense, au niveau des matériels informatiques et des logiciels.

Voir : Trusted Computer System Evaluation Criteria (TCSEC)

La société Mitre, fournisseur du département de la défense, est chargée de cette mission.

Voir : http://www.mitre.org/news/the_edge/february_01/highlights.html

[modifier] Voir aussi

• Tiers de confiance
• Profil de protection
• Sécurité des systèmes d'information
• Sécurité des données
• Politique de sécurité des systèmes d'information
• Liste de normes ISO par domaines

[modifier] Liens externes

• (fr) Certification Critères Communs
• (fr) Guide sur les critères communs
• (en) http://www.infosyssec.org/infosyssec/security/secpol1.htm