-
1
������������������������������������������������������������������������
����������������������������������������������������������������������������������������
����������������������������������������
��� �����������
��������
��� ����������������
-
2
La certification
• Trois niveaux:– Certification première partie
• Autodéclaration du fournisseur
– Certification seconde partie• Certification par le client
– Certification tierce partie• Inspection par un tiers indépendant
-
3
-
4
Quatre types de certification
• Produits
• Services
• Systèmes de management
• Personnel
-
5
LSTI
-
6
Encadrement des certifications
• Produits et services – Code de la consommation en France
• Systèmes de management et personnels– Pas d’encadrement réglementaire
-
7
Les organismes certificateurs
• Produits et services– Déclaration d’activité au ministère de
l’industrie– Publication au Journal officiel
• Systèmes de management et personnels– Libre
-
8
Encadrement normatif
IS 17024Personnels
EN NF 45012Guide ISO 62
Systèmes de management
EN NF 45011 Guide ISO 65
Produits, services
-
9
L’accréditation
• Vérification du respect des normes de certification
• Par un organisme indépendant (accréditeur)
• COFRAC en France
-
10
Critères fondamentaux d’accréditation
• Indépendance • Impartialité des décisions de
certification
• Participation collégiale • (fournisseurs, consommateur, pouvoirs publics)
• Non discrimination
-
11
Impacts de l’accréditation
• Organisationnels– Structure de décision collégiale– Transparence de l’activité (publication)
-
12
-
13
-
14
Conduite des évaluations de la sécurité des produits
Laboratoires
Agrément
Rapports
Accréditation
Fournitures
COMITE de Certification
Valide les principes de fonctionnementInstruction des dossiers de litige
Organisme d'accréditation
COFRACAccréditation des labs et OC
suivant les normes ISO 17025/45011/45012/17024
Développeur
Développement des produitssoumis à l'évaluation
Organisme de Certification
Mise en oeuvre des systèmes de certification
Agrément des labosSuivi des évaluations Certification
-
15
Marquage CE
-
16
-
17
Quatre types de certification• 1 Produits
– ITSEC– ISO/CEI 15408 ou critères Communs– ISO/CEI 19790, ISO/CEI 19792, TR 19791
• 2 Services– pas de standards
• 3 Personnel– Lead auditor ISO/CEI 27001– CISSP, CISM, Procssi
• 4 Systèmes de management ISO/CEI 27001
-
18
-
19
-
20
-
21
Certification ITSEC- ISO/CEI 15408
• Certification par le Premier ministre– Direction Centrale de la Sécurité des Système d’Information– Evaluation par des laboratoires agrés (CESTI)
• Une reconnaissance entre agences gouvernementales– CCRA de mai 2000 (international- limité en niveaux)– SOG-IS de mars 1998 européen (12 pays)
• 400 à 500 certificats ? (www.commoncriteriaportal.org)
-
22
-
23
Historique
US-DODTCSEC
1983-85
US-NISTMSFR
1990
FederalCriteria
1992
EuropeITSEC
1991
CanadaTCPEC
1993
CommonCriteria1993-98
ISO 15408CommonCriteria
1999
European National/Regional
Initiatives
1989-93
Canadian Initiatives
1989-93
Trusted Systems Security conferences (Circa 1982)
NIST/CSE Propose CC to EU (1992)
NIAPEstablished (1997)
NIAP Conceived (1995-6)
NIST & NSA
Minimum FunctionalSecurity Requirements
-
24
Echelle d’assurance : 7 niveauxEchelle d’assurance : 7 niveaux
EAL 7 conception formelle vérifiée et produit testé E6/H
EAL 6 conception semi-formelle vérifiée et produit testé E5/H
EAL 5 produit conçu de façon semi-formelle et testé E4/M
EAL 4 produit conçu, testé, revu de façon méthodique E3/B
EAL 3 produit testé et vérifié de façon méthodique E2/ -
EAL 2 produit testé structurellement E1/ -
EAL 1 produit testé fonctionnellement ---
CC ITSEC
-
25
La norme ISO/CEI 19790
• Certification des modules cryptographiques
• Basé sur FIPS 140-2 (US)• Publiée en 2006• Certification NIAP uniquement à ce jour• Travail en cours sur la méthodologie• Pas de schémas de reconnaissance ?
-
26
La future ISO/CEI 19792
• Evaluation des dispositifs biométriques• Portée par l’Allemagne• Langage Critères Communs• Publication en novembre 2006• Utilisation en France ?
-
27
Le TR 19791
• Relative aux systèmes en exploitation• Portée par le Japon• Publication mars 2006• Langage critères communs• Base d’une norme internationale ?• Place dans le dispositif ?
-
28
Certification des services
• A fort besoin de sécurité– Hébergement, archivage, etc …
• Pas de standards
Une offre FNTC pour archivage
-
29
La certification des SMSI
• ISO/CEI 27001 : base de la certification
• Près de 40 schémas nationaux de certification
-
30
Une organisation internationale
• ISMS Usergroup (www.xisec.com)
• 41 chapitres au niveau international
• Chapitre français récemment créé (ISMSI)
-
31