Administration des syst` emes distribu´ es
2.2 Standards pour la s´ ecurit´ e des infrastructures
2.2.3 Les ”Common Criteria”
Pour r´epondre aux besoins de s´ecurisation dans un contexte d’entreprise ´etendue, il peut ˆetre souhaitable d’utiliser des crit`eres communs d’´evaluation pour certifier le niveau de s´ecurit´e atteint par les syst`emes des diff´erents partenaires. En d´epit des similarit´es des classements r´ealis´es en fonction des standards am´ericain et europ´een TCSEC ou ITSEC (cf figure 2.6), quelques diff´erences subsistent. Aussi, pour r´epondre aux contraintes d’in-ternationalisation un syst`eme d’´evaluation international, les Common Criteria (CC) [co98]
est mis en place de mani`ere compl´ementaire au standard ISO 17799. Le cadre de stan-dardisation fix´e dans les Common Criteria consiste `a la fois en une d´efinition des crit`eres d’´evaluation ET en une m´ethode d’´evaluation (`a la diff´erence des standards ITSEC et TCSEC qui ne comportaient pas de facette m´ethode). De mani`ere `a apporter un bon ni-veau de r´eactivit´e et d’ouverture, n´ecessaires dans le collaborative business, les certificats accord´es peuvent ˆetre enregistr´es dans une base commune (figure 2.7). La contribution principale de ce standard r´eside dans la d´efinition d’un mod`ele d´efinissant les concepts et leurs relations impliqu´es dans la probl´ematique ”s´ecurit´e”, mod`ele int´egrant `a la fois les menaces et les responsabilit´es li´ees au syst`eme ou composant informationnel `a prot´eger (figure 2.8). Par ce biais, les contraintes organisationnelles peuvent ˆetre prises en compte dans la d´efinition des besoins en terme de s´ecurit´e, sp´ecification qui peut aussi ˆetre guid´ee grˆace `a des structures cadres appel´ees profils.
Le standard des Common Criteria repose sur deux concepts principaux ([co00] p. 6) :
♦ Profil de Protection (PP) : ensemble de besoins et d’objectifs en terme de s´ecurit´e ind´ependant de l’impl´ementation pour une cat´egorie de produits ou syst`emes qui peuvent r´epondre `a un ensemble de besoins similaires de diff´erents ”consomma-teurs” en terme de s´ecurit´e relative aux technologies de l’information. Pour garantir la compatibilit´e ascendante avec les classes B1 et C2 du TCSEC, des profils de
Cible de sécurité (menaces, objectifs, fonction, niveau d'évaluation)
Modèles formels de sécurité Fonctions (informel)
Fonctions (semi-formel) Fonctions (formel)
Conception de l'architecture (informel) Conception de l'architecture (semi-formel) Conception de l'architecture (formel) Conception détaillée (informel) Conception détaillée (semi-formel)
Implémentation (hardware et code source) Implémentation (Code Objet)
Opération (Documentation User/administrateur, recette et mise en oeuvre, démarrage et mise en oeuvre)
Niveau de rigueur Défini Décrit Expliqué
O O O O O O
O O O
O O O
O O O
O O
O
O O
O O O
O O O O O O
O O O O O O
O O O
E1 E2 E3 E4 E5 E6
Fig. 2.5 – Analyse de vuln´erabilit´e selon les diff´erents niveaux de certification d’apr`es [EEC91] (O = Oui)
2.2. Standards pour la s´ecurit´e des infrastructures
Classe TCSEC
Classe ITSEC
D C1 C2 B1 B2 B3 A1
E0 E1 E2 E3 E4 E5 E6
Fig. 2.6 – Comparaison des niveaux de certification ITSEC et TCSEC d’apr`es [EEC91]
Evaluer Approbation /
Certification
Liste des certificats / Enregistrement Résultats finaux d'évaluation
Procédé d'évaluation Méthodologie d'évaluation Critères d'évaluation (les CC)
Fig. 2.7 – Contexte d’´evaluation d´efini dans les Common Criteria d’apr`es [co98], p. 11
Agent menace
Menaces Biens
Risque Vulnérabilités Contre-mesures
Propriétaires
Valeur souhaite minimiser
pour réduire
conduisant à peut posséder
peuvent être réduites par impose
peut être conscient de
apporte veut abuser et / ou
endommager sur
accroît sur exploite
Fig. 2.8 – Mod`ele des concepts de s´ecurit´e d’apr`es [co98], p. 14
protection sont d´evelopp´es pour les pare-feux, les syst`emes de gestion de bases de donn´ees relationnelles...
♦ Cible de s´ecurit´e (security target : ST) : d´ecrit les objectifs de s´ecurit´e et les besoins associ´es `a une ”cible d’´evaluation” (Target Of Evaluation : TOE), i.e. le produit ou syst`eme devant ˆetre ´evalu´e et certifi´e. La TOE comporte ´egalement la d´efinition des mesures fonctionnelles et assurances offertes dans la TOE pour faire face aux besoins exprim´es. L’´evaluation est men´ee pour contrˆoler la conformit´e de la TOE vis-`a-vis d’un ou plusieurs PP.
La protection du syst`eme informatique est r´ealis´ee grˆace `a diff´erents composants
”s´ecurit´e” mettant en œuvre des fonctions particuli`eres (par exemple un composant RSA impl´emente une fonction de cryptage). Ces composants sont regroup´es en familles (i.e. des groupes de composants ayant des objectifs de s´ecurit´e communs) elles mˆemes regroup´ees en classes (des groupes de familles partageant un mˆeme but). Onze classes sont d´efinies et permettent de classer les fonctionnalit´es de s´ecurit´e :
♦ Audit (FAU) : reconnaissance, enregistrement, stockage et analyse des informations relatives aux activit´es de s´ecurit´e
♦ Support pour la cryptographie (FCS) : cryptographie et gestion des clefs
♦ Communication (FCO) : contrˆoles d’identit´e de non r´epudiation
♦ Protection des donn´ees des utilisateurs (FDP) : contrˆole de l’import et de l’export de donn´ees personnelles en fonction des r`egles sur la protection des donn´ees personnelles et de la vie priv´ee
2.2. Standards pour la s´ecurit´e des infrastructures
♦ Identification et Authentification (FIA) : v´erification de l’identit´e des utilisateurs, gestion des attributs de s´ecurit´e des usagers, processus d’autorisations
♦ Gestion de la s´ecurit´e (FMT) : administration des attributs de s´ecurit´e, donn´ees et fonctions utilis´ees pour assurer les fonctions d’administration des autres classes fonctionnelles
♦ Gestion du respect de la vie priv´ee (privacy) (FPR) : utilis´e pour prot´eger les uti-lisateurs contre la d´ecouverte et les utilisations frauduleuses de leur identit´e par d’autres utilisateurs.
♦ Protection des fonctions de s´ecurit´e des cibles d’´evaluation (TOE) (FPT) : contrˆole d’int´egrit´e et administration des m´ecanismes et des donn´ees des fonctions de s´ecurit´e de la TOE.
♦ Utilisation de ressources (FRU) : supporte la disponibilit´e des ressources (capacit´e de stockage, capacit´e de traitement, m´ecanismes de tol´erance aux fautes...)
♦ Acc`es `a la TOE (FTA) : compl´ementaire `a la classe relative `a l’identification, cette classe vise le contrˆole des sessions des utilisateurs (nombre de sessions, historique des acc`es, modification des param`etres d’acc`es...)
♦ Chemins (ou canaux) de confiance (FTP) : construction de canaux de communi-cation et de chemins entre les utilisateurs et la TSF (Fonction de s´ecurit´e de la TOE)
La certification des syst`emes est r´ealis´ee selon sept niveaux pouvant ˆetre compar´es faci-lement aux classes introduites dans le standard am´ericain TCSEC et le standard europ´een ITSEC comme le montre la figure 2.9.