1

������������������������������������������������������������������������

����������������������������������������������������������������������������������������

����������������������������������������

��� �����������

��������

��� ����������������

2

La certification

• Trois niveaux:– Certification première partie

• Autodéclaration du fournisseur

– Certification seconde partie• Certification par le client

– Certification tierce partie• Inspection par un tiers indépendant

3

4

Quatre types de certification

• Produits

• Services

• Systèmes de management

• Personnel

5

LSTI

6

Encadrement des certifications

• Produits et services – Code de la consommation en France

• Systèmes de management et personnels– Pas d’encadrement réglementaire

7

Les organismes certificateurs

• Produits et services– Déclaration d’activité au ministère de

l’industrie– Publication au Journal officiel

• Systèmes de management et personnels– Libre

8

Encadrement normatif

IS 17024Personnels

EN NF 45012Guide ISO 62

Systèmes de management

EN NF 45011 Guide ISO 65

Produits, services

9

L’accréditation

• Vérification du respect des normes de certification

• Par un organisme indépendant (accréditeur)

• COFRAC en France

10

Critères fondamentaux d’accréditation

• Indépendance • Impartialité des décisions de

certification

• Participation collégiale • (fournisseurs, consommateur, pouvoirs publics)

• Non discrimination

11

Impacts de l’accréditation

• Organisationnels– Structure de décision collégiale– Transparence de l’activité (publication)

12

13

14

Conduite des évaluations de la sécurité des produits

Laboratoires

Agrément

Rapports

Accréditation

Fournitures

COMITE de Certification

Valide les principes de fonctionnementInstruction des dossiers de litige

Organisme d'accréditation

COFRACAccréditation des labs et OC

suivant les normes ISO 17025/45011/45012/17024

Développeur

Développement des produitssoumis à l'évaluation

Organisme de Certification

Mise en oeuvre des systèmes de certification

Agrément des labosSuivi des évaluations Certification

15

Marquage CE

16

17

Quatre types de certification• 1 Produits

– ITSEC– ISO/CEI 15408 ou critères Communs– ISO/CEI 19790, ISO/CEI 19792, TR 19791

• 2 Services– pas de standards

• 3 Personnel– Lead auditor ISO/CEI 27001– CISSP, CISM, Procssi

• 4 Systèmes de management ISO/CEI 27001

18

19

20

21

Certification ITSEC- ISO/CEI 15408

• Certification par le Premier ministre– Direction Centrale de la Sécurité des Système d’Information– Evaluation par des laboratoires agrés (CESTI)

• Une reconnaissance entre agences gouvernementales– CCRA de mai 2000 (international- limité en niveaux)– SOG-IS de mars 1998 européen (12 pays)

• 400 à 500 certificats ? (www.commoncriteriaportal.org)

22

23

Historique

US-DODTCSEC

1983-85

US-NISTMSFR

1990

FederalCriteria

1992

EuropeITSEC

1991

CanadaTCPEC

1993

CommonCriteria1993-98

ISO 15408CommonCriteria

1999

European National/Regional

Initiatives

1989-93

Canadian Initiatives

1989-93

Trusted Systems Security conferences (Circa 1982)

NIST/CSE Propose CC to EU (1992)

NIAPEstablished (1997)

NIAP Conceived (1995-6)

NIST & NSA

Minimum FunctionalSecurity Requirements

24

Echelle d’assurance : 7 niveauxEchelle d’assurance : 7 niveaux

EAL 7 conception formelle vérifiée et produit testé E6/H

EAL 6 conception semi-formelle vérifiée et produit testé E5/H

EAL 5 produit conçu de façon semi-formelle et testé E4/M

EAL 4 produit conçu, testé, revu de façon méthodique E3/B

EAL 3 produit testé et vérifié de façon méthodique E2/ -

EAL 2 produit testé structurellement E1/ -

EAL 1 produit testé fonctionnellement ---

CC ITSEC

25

La norme ISO/CEI 19790

• Certification des modules cryptographiques

• Basé sur FIPS 140-2 (US)• Publiée en 2006• Certification NIAP uniquement à ce jour• Travail en cours sur la méthodologie• Pas de schémas de reconnaissance ?

26

La future ISO/CEI 19792

• Evaluation des dispositifs biométriques• Portée par l’Allemagne• Langage Critères Communs• Publication en novembre 2006• Utilisation en France ?

27

Le TR 19791

• Relative aux systèmes en exploitation• Portée par le Japon• Publication mars 2006• Langage critères communs• Base d’une norme internationale ?• Place dans le dispositif ?

28

Certification des services

• A fort besoin de sécurité– Hébergement, archivage, etc …

• Pas de standards

Une offre FNTC pour archivage

29

La certification des SMSI

• ISO/CEI 27001 : base de la certification

• Près de 40 schémas nationaux de certification

30

Une organisation internationale

• ISMS Usergroup (www.xisec.com)

• 41 chapitres au niveau international

• Chapitre français récemment créé (ISMSI)

31