Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Edouard Jeanson, Sogeti : La Certification de Sécurité de Premier Niveau (CSPN), la bouffée d’air de la SSI basée sur le pragmatisme

décembre 2008 par Marc Jacob

Pour compléter son offre de certification avec un processus qui puisse attester d’un niveau de sécurité dans un délai court, la DCSSI met en œuvre en 2008 la Certification de Sécurité de Premier Niveau (CSPN). Cette certification apporte une bouffée d’air frais dans le monde de la certification de la sécurité des technologies de l’information en proposant une approche pragmatique et basée sur l’expertise.

Ce mode d’évaluation avec des coûts et des délais maitrisés permet aux industriels, éditeurs de produits et de solutions de sécurité, d’obtenir un certificat de sécurité pour leur produit, qui, jusqu’à présent, ne leur était accessible qu’au prix d’un investissement difficile.

Par rapport aux Critères Communs, le processus CSPN, présente les caractéristiques suivantes :

• la validation en amont de la pertinence du périmètre par rapport aux besoins des utilisateurs ;
• la réduction de la charge de travail pour le développeur ;
• la diminution du délai et du coût d’évaluation ;
• la prépondérance de l’efficacité sur la conformité ;
• la simplification de l’agrément des laboratoires d’évaluation.

Le processus CSPN permet, dans un délai court et avec une charge limitée, d’acquérir un niveau d’assurance dans le fait que le produit évalué réalise la sécurité qu’il annonce. Dans tous les cas, le niveau de d’assurance obtenu doit être considéré en fonction de l’effort consacré à l’évaluation. Ainsi le processus CSPN pourrait être la porte d’entrée vers des certifications de plus hauts niveaux.

Le schéma CSPN s’organise en quatre activités principales :

• l’agrément d’un laboratoire ;
• la validation d’une demande de certification d’un produit ;
• l’évaluation du produit ;
• la certification du produit.

Le développeur livre au laboratoire d’évaluation la cible de sécurité (cahier des charges pour l’évaluation), le produit, ses guides d’utilisation ainsi que la documentation de développement disponible. Une fois que le laboratoire d’évaluation a reçu ces éléments, il peut procéder à l’évaluation du produit.

Les travaux d’évaluation portent sur l’analyse des aspects suivants :
• la conformité du produit par rapport aux fonctionnalités décrites dans la cible de sécurité ;
• les performances et l’interopérabilité du produit ;
• le niveau de résistance des fonctionnalités de sécurité du produit ;
• les vulnérabilités du produit liées à sa construction et à son exploitation ;
• l’efficacité des fonctionnalités de sécurité du produit ;
• les risques de mauvaise utilisation ;
• les modes d’utilisation sécurisés du produit.

Ces travaux d’évaluation sont réalisés en temps contraint de telle sorte que le laboratoire d’évaluation se focalise sur les aspects les plus critiques du produit et fournisse un avis d’expert sur la sécurité.
L’ensemble des résultats d’évaluation et leurs conclusions sont consignés dans un rapport technique d’évaluation qui est validé par la DCSSI avant d’être transmis au développeur.

En conclusion ;

• Le certificat CSPN garantit qu’un produit est évalué en fonction des propriétés de sécurité communément attendues de la part de ce type de produit.
• Le processus CSPN permet d’obtenir un certificat sur un produit sans que cela représente une charge excessive pour le développeur.
• Le processus CSPN est établi de telle sorte que les coûts et les délais d’évaluation sont maîtrisés.
• Le processus CSPN permet de focaliser l’évaluation de la sécurité sur l’efficacité des fonctionnalités de sécurité.

Plus d’info sur :

http://esec.fr.sogeti.com/FR/poles/centre_evaluation.php


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants