SCSSI : ITSEC v1.2 Assurance Efficacité Index de la documentation sur les critères | Index général de la documentation Sommaire | Introduction | Champ d'application | Fonctionnalité Efficacité | Conformité | Conformité E1 | Conformité E2 | Conformité E3 | Conformité E4 | Conformité E5 | Conformité E6 Résultats de l'évaluation | Glossaire | Exemples de classes de Fonctionnalité | "Claims language" |

Description de l'approche

1. la pertinence des fonctions de la TOE dédiées à la sécurité pour contrer les menaces contre la sécurité de la TOE identifiées dans la cible de sécurité ;
2. la capacité des fonctions et des mécanismes de la TOE dédiés à la sécurité à se lier et à coopérer pour former un ensemble intégré et efficace ;
3. la capacité des mécanismes de sécurité de la TOE à résister à une attaque directe ;
4. si des vulnérabilités connues dans la construction de la TOE pourraient en pratique compromettre la sécurité de la TOE ;
5. que la TOE ne peut pas être configurée ou utilisée d'une manière qui n'est pas sûre, mais qu'un administrateur ou un utilisateur final pourrait raisonnablement croire sûre ;
6. si des vulnérabilités connues dans l'exploitation de la TOE pourraient en pratique compromettre la sécurité de la TOE.

L'estimation de chacun des aspects de l'efficacité identifiés ci-dessus est effectuée en utilisant la documentation fournie par le commanditaire ainsi que la documentation et les résultats provenant de l'évaluation de la conformité de la TOE. Cela signifie que, bien que l'évaluation de l'efficacité puisse se dérouler en parallèle avec l'estimation de la conformité, elle ne peut se terminer avant que les résultats finals de l'estimation de la conformité ne soient disponibles.

Pour être précis, l'estimation de l'efficacité est basée sur une analyse des vulnérabilités de la TOE. Cette analyse a pour objectif de rechercher tous les moyens possibles pour un utilisateur de la TOE de désactiver, de court-circuiter, d'altérer, de contourner, d'attaquer directement, ou de mettre autrement en échec les fonctions et les mécanismes de la TOE dédiés à la sécurité. Au minimum, l'analyse de vulnérabilité du commanditaire doit prendre en compte toutes les informations spécifiées dans la figure 4 pour le niveau d'évaluation en question (c'est à dire qu'il faut effectuer une recherche des vulnérabilités en utilisant une partie de l'ensemble de la documentation fournie par le commanditaire pour le niveau d'évaluation considéré). Quand le niveau d'évaluation augmente, les critères de conformité du chapitre 4 exigent que les informations spécifiées dans la figure 4 soient fournies avec un niveau croissant de rigueur, comme l'indique l'emploi des verbes présenter, décrire et expliquer.

Tous les mécanismes de sécurité critiques (c'est à dire les mécanismes dont la mise en défaut pourrait créer une faiblesse dans la sécurité), sont estimés quant à leur capacité à résister à une attaque directe. La résistance minimum de chaque mécanisme critique doit être cotée comme étant élémentaire, moyenne ou élevée.

Pour que la résistance minimum d'un mécanisme critique soit cotée élémentaire, il doit être manifeste qu'il fournit une protection contre une subversion accidentelle aléatoire, bien qu'il soit susceptible d'être mis en échec par des agresseurs compétents.

Pour que la résistance minimum d'un mécanisme critique soit cotée moyenne, il doit être manifeste qu'il fournit une protection contre des agresseurs dont les opportunités ou les ressources sont limitées.

Pour que la résistance minimum d'un mécanisme critique soit cotée élevée, il doit être manifeste qu'il ne pourra être mis en échec que par des agresseurs disposant d'un haut degré d'expertise, d'opportunité et de ressources, le succès d'une attaque étant jugé de nature exceptionnelle.

Une TOE n'échouera dans l'évaluation pour ce qui concerne l'efficacité que si une vulnérabilité exploitable, découverte pendant l'évaluation de l'efficacité, n'a pas été éliminée avant la fin de l'évaluation. Cela comprend des méthodes d'attaque directe ayant réussi, décelées pendant l'estimation de la résistance minimum des mécanismes, qui invalideraient la cotation annoncée. Si une telle vulnérabilité existe, la TOE se verra décerner le niveau global d'évaluation E0, indiquant qu'elle ne convient pas à l'emploi proposé.

L'efficacité de la TOE est toujours estimée dans le contexte de la cible de sécurité donnée. Par exemple, un produit de sécurité vendu pour être incorporé dans des systèmes peut contenir des canaux cachés connus. Pourtant, si la cible de sécurité du système n'a pas d'exigence de contrôle d'accès pour la confidentialité, la présence de canaux cachés dans le produit n'est pas à prendre en compte et n'affectera pas la capacité de la TOE à satisfaire à sa cible de sécurité, et ne provoquera pas l'échec de l'évaluation. Pour des systèmes présentant des exigences de contrôle d'accès pour la confidentialité, la cible de sécurité du système peut spécifier les bandes passantes maximum admissibles des canaux cachés. Si des canaux cachés dépassant ces bandes passantes sont identifiés, ou si aucune bande passante n'est réellement spécifiée, l'évaluateur doit déterminer si les canaux cachés identifiés font échouer l'évaluation de la TOE sur la base d'une fonctionnalité non pertinente.

Systèmes et produits

Critères d'efficacité - Construction

Le commanditaire doit fournir la documentation suivante en complément de celle qui est exigée pour l'évaluation de la conformité :

• analyse de pertinence,
• analyse de cohésion,
• analyse de la résistance des mécanismes,
• liste des vulnérabilités connues dans la construction.

Dans le cadre de la documentation exigée pour l'évaluation de la conformité, le commanditaire fournira une cible de sécurité. Au cours de l'estimation de la conformité, cette cible est examinée sous l'angle de la couverture et de la cohérence. En ce qui concerne cet aspect de l'efficacité, la cible de sécurité est utilisée pour déterminer si les fonctions et les mécanismes dédiés à la sécurité contreront effectivement les menaces pour la sécurité de la TOE identifiées dans la cible de sécurité.

Exigences concernant le contenu et la présentation

L'analyse de la pertinence doit établir un lien entre les fonctions et mécanismes dédiés à la sécurité et les menaces énumérées dans la cible de sécurité, que leur conception vise à contrer.

Exigences concernant les éléments de preuve

L'analyse de la pertinence doit montrer comment les menaces sont contrées par les fonctions et les mécanismes dédiés à la sécurité. Elle doit montrer qu'il n'existe aucune menace qui ne soit convenablement contrée par une ou plusieurs des fonctions dédiées à la sécurité qui sont déclarées. L'analyse doit être conduite en utilisant, au minimum, toutes les informations données dans la figure 4 pour le niveau d'évaluation considéré.

Tâches de l'évaluateur

Vérifier que l'analyse de pertinence fournie satisfait à toutes les exigences concernant le contenu et la présentation ainsi qu'à celles concernant les éléments de preuve. Vérifier que l'analyse a pris en compte toutes les informations données dans la figure 4 pour le niveau considéré.

Aspect 2 - Cohésion de la fonctionnalité

Cet aspect de l'efficacité examine la capacité des fonctions et mécanismes dédiés à la sécurité à coopérer pour former un ensemble intégré et efficace.

Exigences concernant le contenu et la présentation

L'analyse de cohésion doit fournir une analyse de toutes les relations potentielles entre les fonctions et mécanismes dédiés à la sécurité.

Exigences concernant les éléments de preuve

L'analyse de cohésion doit montrer qu'il est impossible d'amener l'une des fonctions ou l'un des mécanismes dédiés à la sécurité à rentrer en conflit ou à se mettre en contradiction avec d'autres fonctions ou mécanismes dédiés à la sécurité. L'analyse doit être conduite en utilisant, au minimum, toutes les informations données dans la figure 4 pour le niveau considéré.

Tâches de l'évaluateur

Vérifier que l'analyse de cohésion fournie satisfait à toutes les exigences concernant le contenu et la présentation ainsi qu'à celles concernant les éléments de preuve. Vérifier que l'analyse a pris en compte toutes les informations données dans la figure 4 pour le niveau considéré.

Aspect 3 - Résistance des mécanismes

Même si un mécanisme dédié à la sécurité ne peut pas être court-circuité, désactivé, altéré ou contourné, il peut encore être possible de le mettre en échec par une attaque directe tirant profit d'insuffisances dans ses algorithmes, ses principes ou ses propriétés sous-jacents. Pour cet aspect de l'efficacité la capacité de ces mécanismes à contenir une telle attaque directe est estimée. Cet aspect de l'efficacité se distingue des autres en ce qu'il exige de prendre en considération le niveau des ressources qui seraient nécessaires à un agresseur pour réussir une attaque directe.

Exigences concernant le contenu et la présentation

L'analyse de la résistance des mécanismes doit énumérer tous les mécanismes dédiés à la sécurité de la TOE qui ont été identifiés comme étant critiques. Elle doit inclure une analyse des algorithmes, des principes ou des propriétés sous-jacents de ces mécanismes, ou y faire référence.

Exigences concernant les éléments de preuve

L'analyse de la résistance des mécanismes doit montrer que tous les mécanismes critiques satisfont à la cotation annoncée de la résistance minimum des mécanismes, telle qu'elle est définie aux paragraphes 3.6 à 3.8 : dans le cas de mécanismes cryptographiques, ceci doit prendre la forme d'une déclaration de confirmation par l'organisme national approprié. D'autres analyses doivent être conduites en utilisant, au minimum, toutes les informations données dans la figure 4 pour le niveau considéré.

Tâches de l'évaluateur

Vérifier que tous les mécanismes critiques ont bien été identifiés comme tels. Vérifier que l'analyse fournie pour la résistance des mécanismes satisfait à toutes les exigences concernant le contenu et la présentation ainsi qu'à celles concernant les éléments de preuve. Vérifier que l'analyse a pris en compte toutes les informations données dans la figure 4 pour le niveau considéré. Vérifier que les spécifications ou les définitions de tous les mécanismes critiques correspondent à la cotation annoncée de la résistance minimum. Effectuer des tests de pénétration là où c'est nécessaire pour confirmer ou infirmer la résistance minimum des mécanismes annoncée.

Aspect 4 - Estimation de la vulnérabilité de la construction

Avant et pendant l'étude des autres aspects de l'évaluation de la TOE, diverses vulnérabilités dans la construction de la TOE (tels que des moyens de désactiver, court-circuiter, altérer ou contourner des fonctions et mécanismes dédiés à la sécurité) auront été identifiées par le commanditaire et par l'évaluateur. Pour cet aspect de l'efficacité, ces vulnérabilités connues sont estimées pour déterminer si elles peuvent dans la pratique compromettre la sécurité de la TOE telle qu'elle est spécifiée dans la cible de sécurité.

Exigences concernant le contenu et la présentation

La liste des vulnérabilités connues fournie par le commanditaire doit identifier toutes les vulnérabilités dans la construction de la TOE, dont il a connaissance. Elle doit identifier chaque vulnérabilité connue, fournir une analyse de son impact potentiel et identifier les mesures proposées ou fournies pour parer ses conséquences.

Exigences concernant les éléments de preuve

L'analyse de l'impact potentiel de chacune des vulnérabilités connues doit montrer que la vulnérabilité en question ne peut pas être exploitée dans l'environnement prévu pour la TOE, parce que :

• la vulnérabilité est convenablement couverte par d'autres mécanismes de sécurité non compromis, ou
• il peut être montré que la vulnérabilité ne relève pas de la cible de sécurité, qu'elle n'existera pas dans la pratique, ou qu'elle pourra être convenablement contrée par des mesures de sécurité techniques, relatives au personnel, organisationnelles ou physiques, documentées, et extérieures à la TOE. Ces mesures de sécurité externes doivent avoir été définies dans la documentation appropriée (ou doivent lui avoir été ajoutées).

Tâches de l'évaluateur

Vérifier que la liste des vulnérabilités dans la construction qui sont connues satisfait à toutes les exigences indiquées ci-dessus concernant le contenu et la présentation ainsi qu'à celles concernant les éléments de preuve. Vérifier que l'analyse de l'impact potentiel de chacune des vulnérabilités a pris en compte toutes les informations données dans la figure 4 pour le niveau considéré. Effectuer une analyse indépendante de vulnérabilité, en prenant en compte à la fois les vulnérabilités de construction énumérées et toute autre découverte pendant l'évaluation. Vérifier que toutes les combinaisons de vulnérabilités connues ont été prises en compte. Vérifier que les analyses d'impact potentiel des vulnérabilités ne contiennent pas d'hypothèses non documentées ou déraisonnables concernant l'environnement prévu. Vérifier que toutes les hypothèses et toutes les exigences concernant des mesures de sécurité externes ont été convenablement documentées. Effectuer des tests de pénétration pour confirmer ou infirmer que les vulnérabilités connues sont réellement exploitables en pratique.

Critères d'efficacité - Exploitation

Le commanditaire doit fournir la documentation suivante en complément de celle qui est exigée pour l'évaluation de la conformité :

• analyse de la facilité d'emploi,
• liste des vulnérabilités en exploitation connues.

Cet aspect de l'efficacité examine si la TOE peut être configurée ou utilisée d'une manière qui n'est pas sûre, mais qu'un administrateur ou un utilisateur final pourrait raisonnablement croire sûre.

Exigences concernant le contenu et la présentation

L'analyse de la facilité d'emploi doit identifier les modes d'exploitation possibles de la TOE, y compris l'exploitation à la suite d'une panne ou d'une erreur d'exploitation, leurs conséquences et leurs implications sur le maintien de l'exploitation sûre.

Exigences concernant les éléments de preuve

L'analyse de la facilité d'emploi doit montrer que toute erreur humaine ou autre dans l'exploitation, qui désactive ou rend inopérantes des fonctions ou des mécanismes dédiés à la sécurité, sera facilement détectable. Elle doit montrer que, dans le cas où il est possible de configurer la TOE ou de faire en sorte qu'elle puisse être exploitée de façon non sûre (c'est à dire que les fonctions et les mécanismes dédiés à la sécurité ne satisfont pas à la cible de sécurité), alors qu'un utilisateur final ou un administrateur pourraient raisonnablement la croire sûre, alors cet état de fait sera également détectable. L'analyse doit être conduite en utilisant, au minimum, toutes les informations données dans la figure 4 pour le niveau considéré.

Tâches de l'évaluateur

Vérifier que l'analyse de la facilité d'emploi fournie satisfait à toutes les exigences concernant le contenu et la présentation ainsi qu'à celles concernant les éléments de preuve. Vérifier que l'analyse a pris en compte toutes les informations données dans la figure 4 pour le niveau considéré. Vérifier que l'analyse ne contient pas d'hypothèses non documentées ou déraisonnables concernant l'environnement prévu. Vérifier que toutes les hypothèses et exigences concernant des mesures de sécurité externes (telles que des contrôles externes organisationnels, physiques ou relatifs au personnel) ont été convenablement documentées. Exécuter à nouveau toutes les procédures de configuration et d'installation pour vérifier que la TOE peut être configurée et utilisée de façon sûre, en n'utilisant comme guide que la documentation de l'utilisateur et la documentation de l'administrateur. Effectuer d'autres tests quand c'est nécessaire pour confirmer ou infirmer l'analyse de la facilité d'emploi.

Aspect 2 - Estimation de la vulnérabilité en exploitation

Avant et pendant l'étude des autres aspects de l'évaluation de la TOE, diverses vulnérabilités dans l'exploitation de la TOE auront été identifiées par le commanditaire et par l'évaluateur. Pour cet aspect de l'efficacité ces vulnérabilités connues sont estimées pour déterminer si elles pourraient dans la pratique compromettre la sécurité de la TOE telle qu'elle est spécifiée dans la cible de sécurité.

Exigences concernant le contenu et la présentation

La liste des vulnérabilités connues fournie par le commanditaire doit identifier toutes les vulnérabilités dont il a connaissance dans l'exploitation de la TOE. Elle doit identifier chaque vulnérabilité connue, fournir une analyse de son impact potentiel, et identifier les mesures proposées ou fournies pour en parer les conséquences.

Exigences concernant les éléments de preuve

L'analyse de l'impact potentiel de chacune des vulnérabilités connues doit montrer que la vulnérabilité en question ne peut pas être exploitée dans l'environnement prévu pour la TOE, parce que :

• la vulnérabilité est convenablement couverte par d'autres mécanismes externes de sécurité non compromis, ou
• il peut être montré que la vulnérabilité ne relève pas de la cible de sécurité ou ne sera pas exploitable en pratique.

Tâches de l'évaluateur

Vérifier que la liste des vulnérabilités en exploitation qui sont connues satisfait à toutes les exigences indiquées ci-dessus concernant le contenu et la présentation ainsi qu'à celles concernant les éléments de preuve. Vérifier que l'analyse de l'impact potentiel de chacune des vulnérabilités a pris en compte toutes les informations dans la figure 4 pour le niveau considéré. Effectuer une analyse de vulnérabilité indépendante, en prenant en compte à la fois les vulnérabilités en exploitation énumérées et toute autre découverte pendant l'évaluation. Vérifier que toutes les combinaisons de vulnérabilités connues ont été prises en compte. Vérifier que l'analyse d'impact potentiel des vulnérabilités ne contient pas d'hypothèses non documentées ou déraisonnables concernant l'environnement prévu. Vérifier que toutes les hypothèses et toutes les exigences concernant des mesures de sécurité externes ont été convenablement documentées. Effectuer des tests de pénétration pour confirmer ou infirmer que les vulnérabilités connues sont réellement exploitables en pratique.

INFORMATIONS OBTENUES D'UNE ESTIMATION DE LA CONFORMITE
UTILISEES POUR EFFECTUER UNE ANALYSE DE VULNERABILITE

Informations utilisées dans une analyse de vulnérabilité

Index de la documentation sur les critères | Index général de la documentation Sommaire | Introduction | Champ d'application | Fonctionnalité Efficacité | Conformité | Conformité E1 | Conformité E2 | Conformité E3 | Conformité E4 | Conformité E5 | Conformité E6 Résultats de l'évaluation | Glossaire | Exemples de classes de Fonctionnalité | "Claims language" |