|
|
|
|
INTRODUCTIONDans ce contexte, la sécurité des TI est caractérisée par :
Un système TI ou un produit TI (issu des Technologies de l'Information) aura ses exigences propres pour maintenir la confidentialité, l'intégrité et la disponibilité. Pour satisfaire à ces exigences, il implémentera un certain nombre de mesures techniques de sécurité, appelées dans ce document fonctions dédiées à la sécurité, qui recouvrent par exemple des domaines tels que le contrôle d'accès, l'audit et la reprise sur incident. Une confiance appropriée dans ces fonctions sera nécessaire : dans le présent document, on emploie le terme d'assurance, qu'il s'agisse de la confiance dans la conformité des fonctions dédiées à la sécurité (tant du point de vue de leur développement que de celui de leur exploitation) ou de la confiance dans l'efficacité de ces fonctions. Les utilisateurs de systèmes doivent pouvoir se fier à la sécurité des systèmes qu'ils utilisent. Il leur faut aussi un étalon pour pouvoir comparer les aptitudes, en matière de sécurité, des produits TI qu'ils envisagent d'acheter. Bien qu'ils aient la possibilité soit de se fier à la parole des fabricants ou des fournisseurs des systèmes et des produits en question, soit de les tester eux-mêmes, il est probable que beaucoup préféreront se reposer sur les résultats d'une évaluation impartiale effectuée par un organisme indépendant. Une telle évaluation d'un système ou d'un produit exige des critères d'évaluation de la sécurité objectifs et bien définis ainsi que l'existence d'un organisme de certification qui puisse confirmer que l'évaluation a été correctement conduite. Les cibles de sécurité de système sont spécifiques aux besoins particuliers des utilisateurs du système en question, alors que les cibles de sécurité de produit sont plus générales, afin que les produits qui satisfont à ces cibles puissent être incorporés dans de nombreux systèmes ayant des exigences de sécurité similaires mais non nécessairement identiques. Pour un système, une évaluation de ses capacités en matière de sécurité peut être considérée comme faisant partie d'une procédure plus formelle de réception d'un système TI devant être utilisé dans un environnement particulier. Le terme d'homologation est souvent utilisé pour décrire cette procédure. Elle exige de prendre en compte de nombreux facteurs avant de considérer que le système convient pour l'usage prévu : elle exige l'assurance dans la sécurité fournie par le système, la confirmation des responsabilités d'administration de la sécurité, la conformité avec les exigences qui s'appliquent au plan technique, légal ou réglementaire, et la confiance dans l'adéquation des autres mesures non techniques de sécurité fournies par l'environnement du système. Les critères contenus dans le présent document concernent en premier lieu les mesures techniques de sécurité, mais prennent en compte certains aspects non techniques, tels que les procédures d'exploitation sûre pour la sécurité liée au personnel, la sécurité physique et la sécurité organisationnelle (mais seulement quand elles empiètent sur les mesures techniques de sécurité). Beaucoup de travaux ont déjà été réalisés pour développer des critères d'évaluation de la sécurité des TI, malgré quelques légères divergences sur les objectifs selon les exigences spécifiques des pays ou des organismes concernés. Le plus important, et à bien des égards un précurseur pour les autres travaux, a été le document Trusted Computer System Evaluation Criteria [TCSEC], communément appelé TCSEC ou "Livre orange" (Orange Book) qui a été publié et utilisé par le département de la défense des Etats-Unis pour l'évaluation de produits. D'autres pays, principalement européens, ont aussi une expérience importante en matière d'évaluation de la sécurité des TI et ont mis au point leurs propres critères de sécurité des TI. Au Royaume Uni, c'est le cas du mémorandum CESG numéro 3 [CESG3] développé à usage gouvernemental, et des propositions du ministère du Commerce et de l'Industrie réunies dans le "Livre vert" [DTIEC] pour les produits commerciaux de sécurité des TI. En Allemagne, le service allemand de Sécurité de l'Information a publié une première version de ses propres critères en 1989 [ZSIEC], et à la même époque des critères ont été développés en France sous le nom du "Livre bleu-blanc-rouge" [SCSSI]. Constatant que le travail se poursuivait dans ce domaine et qu'il restait encore beaucoup à faire, la France, le Royaume Uni, les Pays-Bas et l'Allemagne ont reconnu qu'il fallait aborder ce travail en concertation, et qu'il fallait établir des critères de sécurité des TI communs et harmonisés. Trois raisons justifiaient cette harmonisation :
En conséquence, il a été décidé de s'appuyer sur les diverses initiatives nationales en prenant le meilleur de tout ce qui avait déjà été réalisé et en réunissant le tout dans une construction cohérente et structurée. Assurer au maximum l'applicabilité et la compatibilité avec les travaux existants, en particulier avec le document TCSEC américain, a été une préoccupation permanente tout au long de ce processus. Bien que l'on ait estimé, au début, que le travail se limiterait à une harmonisation des critères existants, il a quelquefois été nécessaire d'y apporter des compléments. Une des raisons pour produire ces critères harmonisés au plan international est de fournir une base compatible pour la certification par les organismes de certification nationaux des quatre pays qui y coopèrent, avec pour objectif final de permettre la reconnaissance mutuelle des résultats des évaluations. Le présent document expose les critères harmonisés. Le chapitre 1 contient une brève présentation de leur champ d'application. Le chapitre 2 traite de la fonctionnalité de sécurité, c'est-à-dire de la définition et de la description des besoins en matière de sécurité. Le chapitre 3 définit les critères d'évaluation de l'assurance de l'efficacité d'une cible d'évaluation comme solution à ces besoins. Le chapitre 4 complète cette évaluation par l'examen de la conformité de la solution. Le chapitre 5 décrit les résultats attendus d'une évaluation, et le chapitre 6 contient un glossaire des termes qui prennent dans le présent document un sens plus précis ou différent de celui du langage courant (ceux-ci sont imprimés en caractère gras lorsqu'ils sont utilisés pour la première fois, alors que les caractères italiques sont utilisés pour faire ressortir certains termes). Le but du glossaire est d'aider le lecteur à comprendre non seulement la définition des termes, mais aussi les idées et les concepts qui sont propres aux critères harmonisés. Les critères d'évaluation des chapitres 3 et 4 sont présentés d'une manière standardisée ; ils spécifient ce qui doit être fourni par le commanditaire de l'évaluation (la personne ou l'organisation qui demande l'évaluation) et ce qui doit être fait par l'évaluateur (la personne ou l'organisation indépendante qui effectue l'évaluation). Cette distinction a pour objectif d'aider à assurer la cohérence et l'uniformité des résultats d'évaluation. Pour chaque domaine d'évaluation, la documentation à fournir par le commanditaire de l'évaluation est identifiée. Viennent ensuite les critères à prendre en compte pour chaque aspect ou phase d'évaluation relatif à ce domaine. Ces critères sont décomposés en exigences concernant le contenu et la présentation de la documentation qui doit être fournie par le commanditaire, en exigences concernant les éléments de preuve que cette documentation doit présenter, et en tâches de l'évaluateur que celui-ci doit effectuer aussi bien pour vérifier la documentation fournie que pour effectuer, chaque fois que nécessaire, des tests additionnels ou d'autres activités. Dans le cas des critères concernant la manière dont le système ou le produit doit être utilisé en environnement opérationnel, le commanditaire ne sera pas, en général, capable de fournir des preuves tirées de l'emploi réel. Par conséquent l'évaluateur doit supposer pour les besoins de l'évaluation que les procédures spécifiées par le commanditaire seront suivies dans la pratique. Dans le cadre des présents critères certains verbes sont utilisés d'une manière particulière. Devoir est utilisé pour exprimer les critères auxquels il est impératif de satisfaire ; pouvoir est utilisé pour exprimer des critères qui ne sont pas obligatoires ; et le futur est utilisé pour exprimer des actions qui auront lieu ultérieurement. De même, les verbes présenter, décrire et expliquer sont utilisés dans les présents critères pour exiger des niveaux de rigueur croissants dans la fourniture des éléments de preuve. Présenter signifie que les éléments pertinents doivent être fournis ; décrire signifie que ces éléments doivent être fournis et leurs caractéristiques pertinentes énumérées ; expliquer signifie que ces éléments doivent être fournis, leurs caractéristiques pertinentes énumérées et des justifications données. En dehors du chapitre 4, les paragraphes sont numérotés séquentiellement à l'intérieur de chaque chapitre. Au chapitre 4, les critères sont présentés séparément pour chaque niveau d'évaluation. Les paragraphes d'introduction de ce chapitre sont numérotés comme dans les autres chapitres, mais ensuite les paragraphes contenant les critères sont numérotés séquentiellement pour chaque niveau, le même numéro de paragraphe s'appliquant au même sujet à chaque niveau. Néanmoins chaque paragraphe de ce document est identifié de manière unique par la combinaison du chapitre ou du numéro du niveau et du numéro du paragraphe. Le présent travail a exploité des documents qui ont déjà été abondamment discutés et utilisés dans la pratique ; de plus, on peut considérer que les idées et les concepts ont été pesés avec soin et que la structure choisie pour l'ouvrage convient pour lui assurer le maximum de cohérence et de facilité d'emploi. La version actuelle de l'ITSEC tire profit de révisions significatives faites après une large consultation internationale. La procédure de revue a été faite avec le concours de la Commission des Communautés Européennes qui a organisé une conférence internationale au cours de laquelle la version 1.0 a été discutée, puis un atelier au cours duquel une version intermédiaire, la version 1.1, a été affinée. Ces réunions ont été complétées par des commentaires écrits des personnes ayant participé à cette consultation que les auteurs ont cherché à prendre en compte pour préparer la version 1.2. On peut donc s'attendre à ce que ces critères soient largement acceptés et utilisés dans une large gamme d'utilisations et de secteurs de marché ; toutefois, il est admis que des améliorations peuvent être apportées à ces critères, et le seront. En conséquence, les suggestions et les commentaires sont encouragés et peuvent être envoyés à l'une des adresses ci-après, en portant la mention "Commentaires sur l'ITSEC"
Commission des Communautés EuropéennesDes exemplaires de la version 1.2 de l'ITSEC peuvent être obtenus auprès de la Commission des Communautés Européennes à l'adresse indiquée ci-dessus.
|
![[Début]](/images/top.gif)
![[Précédente]](/images/prev.gif)
![[Suivante]](/images/next.gif)
![[Fin]](/images/bottom.gif)