En 1985, la NSA (National Security Agency) et le NIST (National Institute of Standards and Technology) ont rédigé un document intitulé Orange Book, traitant essentiellement de la capacité d’un système à résister à des attaques. L’objectif de ce document était d’évaluer
la sécurité d’un système en proposant des critères, appelés TCSEC (Trusted Computer Systems Evaluation Criteria), permettant de garantir un niveau acceptable de sécurité.
Les critères TCSEC ont été transposés par la Communauté européenne en 1991 sous le nom d’ITSEC (Information Technology Systems Evaluation Criteria) afin d’en combler certaines lacunes, notamment dans le domaine de l’analyse de risques.
En 1993, le Canada a proposé les critères CTCPEC (Canadian Trusted Computer Product Evaluation Criteria), qui sont une combinaison des critères TCSEC et ITSEC.
Sous l’impulsion de l’ISO (International Standardization Organisation), les auteurs des différents critères ont unifié leurs efforts afin de définir des critères communs, appelés CC (Common Criteria), dont l’objectif était avant tout d’offrir un référentiel reconnu par tous les États pour évaluer la sécurité d’un système.
Concepts généraux des critères communs
Les critères communs se veulent un guide pour le développement et le contrôle des produits commerciaux ayant des fonctions de sécurité attendues et attestées. Le produit (ou le système) comprend le système d’exploitation, les réseaux, les systèmes distribués et les applications utilisées et est évalué en fonction de l’usage pour lequel il a été prévu et non pour ses qualités intrinsèques.
L’évaluation de la sécurité d’un système par les critères communs est toujours réalisée par un tiers afin d’en assurer l’indépendance. Plusieurs centres en France, appelés CESTI (centres d’évaluation de la sécurité des technologies de l’information), sont habilités à délivrer ces certifications.
Les critères communs adoptent l’approche par étape suivante : 1. Définir le contexte de l’évaluation considérée.
2. Définir les exigences de sécurité attendues.
3. Définir le niveau de garantie attendu.
4. Formuler les exigences de sécurité en fonction du niveau de sécurité espéré.
5. Définir ce que l’on souhaite protéger dans la perspective d’une évaluation.
Les critères communs reposent sur les exigences suivantes :
• Exigences fonctionnelles, regroupées sous forme de classes, chaque classe couvrant un domaine particulier (voir le tableau 4.1).
Chaque classe contient un ensemble de familles, et chaque famille contient un ensemble de composants. Chaque composant définit une exigence de sécurité.
• Exigences d’assurance, regroupées sous forme de classes, chaque classe couvrant un domaine particulier (voir le tableau 4.2).
Comme précédemment, chaque classe contient un ensemble de familles, elles-mêmes contenant un ensemble de composants, dont chacun définit une exigence d’assurance.
• Niveaux d’évaluation d’assurance EAL (Evaluation Assurance Level), qui certifient que le produit respecte un certain niveau d’assurance EAL. L’assurance désigne la confiance qui peut être accordée à la sécurité fournie par une cible d’évaluation. Sept niveaux d’évaluation EAL regroupant un ensemble d’exigences d’assurance ont été définis (voir le tableau 4.3).
• Profils de protection, qui permettent de définir les exigences fonctionnelles d’un type de produit en fonction d’une cible d’évaluation. Un profil de protection est donc réuti-lisable par tous et présente l’avantage d’exposer des exigences reconnues comme étant nécessaires pour satisfaire les objectifs de sécurité. Par exemple, dans le domaine des cartes à puce, des sociétés ont défini des profils de protection pointant des domaines spécifiques, tels que les circuits intégrés ou les applications financières. Les profils de protection permettent donc d’établir des ensembles communs d’exigences de sécurité apportant le concept de réutilisabilité pour l’évaluation d’un type de produit.
Tableau 4.1 Exigences fonctionnelles des critères communs
Classe Description
FAU Exigences associées à l’audit de sécurité
FCO Exigences associées à la non-répudiation des émissions et réceptions FCS Exigences associées à la gestion des cryptosystèmes
FDP Exigences associées aux protections des données utilisateur
FIA Exigences associées aux fonctions qui établissent et contrôlent l’identité.
FMT Exigences associées à l’administration de la sécurité FPR Exigences associées à la protection de la vie privée
FPT Exigences associées à la protection de l’ensemble des fonctions de sécurité FRU Exigences associées à l’utilisation des ressources
FTA Exigences fonctionnelles associées au contrôle de l’établissement d’une session utilisateur FTP Exigences associées aux chemins et canaux de confiance
Tableau 4.2 Exigences d’assurance des critères communs
Classe Description
ACM Exigences associées à la gestion de la configuration ADO Exigences associées à la livraison et à l’exploitation ADV Exigences associées au développement
AGD Exigences associées à la documentation ALC Exigences associées au cycle de vie ATE Exigences associées aux tests
AVA Exigences associées à l’identification des vulnérabilités APE Exigences associées à l’évaluation du profil de protection ASE Exigences associées à l’évaluation de la cible de sécurité
• Cible de sécurité, qui contient les exigences de sécurité du produit à évaluer. Il s’agit de la définition d’un ensemble de services de sécurité rendus par un produit ou un système, des exigences de sécurité couvertes et des spécifications des fonctions de sécurité proposées. La cible de sécurité est le dossier qui servira de base à l’évaluation.
• Cible d’évaluation, qui désigne le produit ou le système utilisant les technologies de l’information et qui fait l’objet de l’évaluation.
Les critères communs permettent ainsi d’évaluer n’importe quel produit de sécurité selon des exigences prédéfinies (voir figure 4.2). Si l’évaluation s’avère positive, le produit de sécurité se voit décerner une certification, reconnue au niveau mondial.
Tableau 4.3 Niveaux d’évaluation d’assurance EAL des critères communs
Niveau Description
- Niveau minimal de sécurité
EAL1 Tests fonctionnels
EAL2 Tests structurels
EAL3 Tests et vérifications méthodiques
EAL4 Conception, tests et vérifications méthodiques EAL5 Conception semi formelle et tests
EAL6 Vérification semi formelle de la conception générale EAL7 Vérification formelle de la conception générale
Figure 4.2
Évaluation de la sécurité par la méthode des critères communs
Profils de protection
Cible de sécurité
Autres exigences de sécurité
Cible d'évaluation Evaluation
Résultats de l'évaluation