Les ”Common Criteria”

Pour r´epondre aux besoins de s´ecurisation dans un contexte d’entreprise ´etendue, il peut ˆetre souhaitable d’utiliser des crit`eres communs d’´evaluation pour certifier le niveau de s´ecurit´e atteint par les syst`emes des diff´erents partenaires. En d´epit des similarit´es des classements r´ealis´es en fonction des standards am´ericain et europ´een TCSEC ou ITSEC (cf figure 2.6), quelques diff´erences subsistent. Aussi, pour r´epondre aux contraintes d’in-ternationalisation un syst`eme d’´evaluation international, les Common Criteria (CC) [co98]

est mis en place de mani`ere compl´ementaire au standard ISO 17799. Le cadre de stan-dardisation fix´e dans les Common Criteria consiste `a la fois en une d´efinition des crit`eres d’´evaluation ET en une m´ethode d’´evaluation (`a la diff´erence des standards ITSEC et TCSEC qui ne comportaient pas de facette m´ethode). De mani`ere `a apporter un bon ni-veau de r´eactivit´e et d’ouverture, n´ecessaires dans le collaborative business, les certificats accord´es peuvent ˆetre enregistr´es dans une base commune (figure 2.7). La contribution principale de ce standard r´eside dans la d´efinition d’un mod`ele d´efinissant les concepts et leurs relations impliqu´es dans la probl´ematique ”s´ecurit´e”, mod`ele int´egrant `a la fois les menaces et les responsabilit´es li´ees au syst`eme ou composant informationnel `a prot´eger (figure 2.8). Par ce biais, les contraintes organisationnelles peuvent ˆetre prises en compte dans la d´efinition des besoins en terme de s´ecurit´e, sp´ecification qui peut aussi ˆetre guid´ee grˆace `a des structures cadres appel´ees profils.

Le standard des Common Criteria repose sur deux concepts principaux ([co00] p. 6) :

♦ Profil de Protection (PP) : ensemble de besoins et d’objectifs en terme de s´ecurit´e ind´ependant de l’impl´ementation pour une cat´egorie de produits ou syst`emes qui peuvent r´epondre `a un ensemble de besoins similaires de diff´erents ”consomma-teurs” en terme de s´ecurit´e relative aux technologies de l’information. Pour garantir la compatibilit´e ascendante avec les classes B1 et C2 du TCSEC, des profils de

Cible de sécurité (menaces, objectifs, fonction, niveau d'évaluation)

Modèles formels de sécurité Fonctions (informel)

Fonctions (semi-formel) Fonctions (formel)

Conception de l'architecture (informel) Conception de l'architecture (semi-formel) Conception de l'architecture (formel) Conception détaillée (informel) Conception détaillée (semi-formel)

Implémentation (hardware et code source) Implémentation (Code Objet)

Opération (Documentation User/administrateur, recette et mise en oeuvre, démarrage et mise en oeuvre)

Niveau de rigueur Défini Décrit ^Expliqué

O O O O O O

O O O

O O O

O O O

O O

O

O O

O O O

O O O O O O

O O O O O O

O O O

E1 E2 E3 E4 E5 E6

Fig. 2.5 – Analyse de vuln´erabilit´e selon les diff´erents niveaux de certification d’apr`es [EEC91] (O = Oui)

2.2. Standards pour la s´ecurit´e des infrastructures

Classe TCSEC

Classe ITSEC

D C1 C2 B1 B2 B3 A1

E0 E1 E2 E3 E4 E5 E6

Fig. 2.6 – Comparaison des niveaux de certification ITSEC et TCSEC d’apr`es [EEC91]

Evaluer Approbation /

Certification

Liste des certificats / Enregistrement Résultats finaux d'évaluation

Procédé d'évaluation Méthodologie d'évaluation Critères d'évaluation (les CC)

Fig. 2.7 – Contexte d’´evaluation d´efini dans les Common Criteria d’apr`es [co98], p. 11

Agent menace

Menaces Biens

Risque Vulnérabilités Contre-mesures

Propriétaires

Valeur souhaite minimiser

pour réduire

conduisant à peut posséder

peuvent être réduites par impose

peut être conscient de

apporte veut abuser et / ou

endommager sur

accroît sur exploite

Fig. 2.8 – Mod`ele des concepts de s´ecurit´e d’apr`es [co98], p. 14

protection sont d´evelopp´es pour les pare-feux, les syst`emes de gestion de bases de donn´ees relationnelles...

♦ Cible de s´ecurit´e (security target : ST) : d´ecrit les objectifs de s´ecurit´e et les besoins associ´es `a une ”cible d’´evaluation” (Target Of Evaluation : TOE), i.e. le produit ou syst`eme devant ˆetre ´evalu´e et certifi´e. La TOE comporte ´egalement la d´efinition des mesures fonctionnelles et assurances offertes dans la TOE pour faire face aux besoins exprim´es. L’´evaluation est men´ee pour contrˆoler la conformit´e de la TOE vis-`a-vis d’un ou plusieurs PP.

La protection du syst`eme informatique est r´ealis´ee grˆace `a diff´erents composants

”s´ecurit´e” mettant en œuvre des fonctions particuli`eres (par exemple un composant RSA impl´emente une fonction de cryptage). Ces composants sont regroup´es en familles (i.e. des groupes de composants ayant des objectifs de s´ecurit´e communs) elles mˆemes regroup´ees en classes (des groupes de familles partageant un mˆeme but). Onze classes sont d´efinies et permettent de classer les fonctionnalit´es de s´ecurit´e :

♦ Audit (FAU) : reconnaissance, enregistrement, stockage et analyse des informations relatives aux activit´es de s´ecurit´e

♦ Support pour la cryptographie (FCS) : cryptographie et gestion des clefs

♦ Communication (FCO) : contrˆoles d’identit´e de non r´epudiation

♦ Protection des donn´ees des utilisateurs (FDP) : contrˆole de l’import et de l’export de donn´ees personnelles en fonction des r`egles sur la protection des donn´ees personnelles et de la vie priv´ee

2.2. Standards pour la s´ecurit´e des infrastructures

♦ Identification et Authentification (FIA) : v´erification de l’identit´e des utilisateurs, gestion des attributs de s´ecurit´e des usagers, processus d’autorisations

♦ Gestion de la s´ecurit´e (FMT) : administration des attributs de s´ecurit´e, donn´ees et fonctions utilis´ees pour assurer les fonctions d’administration des autres classes fonctionnelles

♦ Gestion du respect de la vie priv´ee (privacy) (FPR) : utilis´e pour prot´eger les uti-lisateurs contre la d´ecouverte et les utilisations frauduleuses de leur identit´e par d’autres utilisateurs.

♦ Protection des fonctions de s´ecurit´e des cibles d’´evaluation (TOE) (FPT) : contrˆole d’int´egrit´e et administration des m´ecanismes et des donn´ees des fonctions de s´ecurit´e de la TOE.

♦ Utilisation de ressources (FRU) : supporte la disponibilit´e des ressources (capacit´e de stockage, capacit´e de traitement, m´ecanismes de tol´erance aux fautes...)

♦ Acc`es `a la TOE (FTA) : compl´ementaire `a la classe relative `a l’identification, cette classe vise le contrˆole des sessions des utilisateurs (nombre de sessions, historique des acc`es, modification des param`etres d’acc`es...)

♦ Chemins (ou canaux) de confiance (FTP) : construction de canaux de communi-cation et de chemins entre les utilisateurs et la TSF (Fonction de s´ecurit´e de la TOE)

La certification des syst`emes est r´ealis´ee selon sept niveaux pouvant ˆetre compar´es faci-lement aux classes introduites dans le standard am´ericain TCSEC et le standard europ´een ITSEC comme le montre la figure 2.9.