La CSPN à travers le prisme des Critères Communs

La CSPN, un processus aussi fiable que CC et FIPS fait son chemin en Europe et outre-atlantique.

Sur le marché dynamique des logiciels, la validation et la certification de la sécurité des produits sont essentielles, surtout à une époque où chaque appareil, quelle que soit son importance, est désormais la cible des pirates informatiques.

Alors que les Critères Communs (CC) et le Federal Information Processing Standard (FIPS) ont longtemps été la référence en matière de certification, la Certification Sécurité de Premier Niveau (CSPN) est en train de devenir populaire en Europe.

Pour l'heure, elle ne s'applique légalement qu'au marché français. Par exemple, si votre entreprise développe un logiciel connecté à Internet et qu'elle souhaite vendre au gouvernement français - comme un gestionnaire d’identité ou encore un gestionnaire de comptes à privilèges, tel que Sesame par exemple – la certification CSPN est un atout indispensable.

La CSPN permet des délais d'essai plus courts que les autres certifications traditionnelles tout en garantissant la maturité de la sécurité. La norme ne s'applique actuellement que dans un seul pays européen, mais les entreprises américaines doivent être très attentives car il est probable que la CSPN - ou un processus de certification (court) similaire - sera bientôt adopté non seulement dans toute l'Union Européenne, mais aussi aux États-Unis.

Pourquoi la CSPN est-elle nécessaire ?

La CSPN est aussi robuste que le CC et le FIPS, c'est pourquoi il est considéré comme un processus de certification fiable. Elle définit les processus permettant à des entités tierces accréditées d'évaluer et de garantir qu'un produit ou un système cible répond aux exigences de sécurité définies dans son objectif de sécurité.

L'importance de la CSPN s'explique par de nombreuses raisons, notamment :

  • Les entreprises opérant dans le domaine de l’édition logicielle (où la technologie évolue continuellement et où la rapidité de mise sur le marché est la clé du succès) doivent s'assurer qu'elles respectent les normes critiques.
  • La CSPN est largement adoptée par le gouvernement français et les industries françaises pour assurer un premier niveau de sécurité.
  • La CSPN est un processus relativement court de huit semaines, avec un temps de travail fixe (25 jours de travail, et 10 jours de travail supplémentaires si les algorithmes cryptographiques doivent être évalués).
  • Les coûts sont limités et les programmes de continuité sont pris en compte dans le processus, ce qui permet l'évolution du produit.

Les nombreuses étapes critiques sur le chemin de la certification CSPN sont expliquées ci-dessous de manière détaillée, y compris les participants et leurs interactions pendant la période d'évaluation.

Rôles et responsabilités :

Le sponsor de la certification fournit le produit, sa cible de sécurité et sa documentation. Lorsque les fonctions de sécurité essentielles du produit sont basées sur des mécanismes cryptographiques, le promoteur fournit également la documentation qui décrit ces mécanismes. En outre, le promoteur signe un contrat avec un organisme d'évaluation agréé par l'ANSSI, l'Agence Nationale de la Sécurité des Systèmes et d'Information, pour effectuer l'évaluation de la sécurité. Enfin, le sponsor reçoit la version finale d'un rapport technique d'évaluation (ETR) validé par l'ANSSI et décide de le publier ou non.

Un Centre d'Evaluation de la Sécurité des Technologies de l'Information (CESTI) est agréé pour les domaines techniques dans lesquels ses compétences sont jugées suffisantes par l'ANSSI. Un CESTI ne peut évaluer que les produits dans les domaines techniques pour lesquels il a obtenu une licence. Cependant, plusieurs CESTI peuvent être nécessaires pour couvrir toutes les compétences nécessaires à l'analyse d'un produit. Une fois qu'un contrat est signé, le CESTI inspecte le produit selon les critères et les méthodologies rédigés par l'ANSSI pour la CSPN, puis résume les résultats de l'évaluation dans un ETR (Evaluation Technical Report) qui est partagé avec l'ANSSI pour validation. Le CESTI et son personnel sont tenus au secret professionnel pour les produits qu'ils évaluent et les résultats qu'ils obtiennent lors de l'évaluation.

La liste des CESTI agréés pour la CSPN est mise à jour sur le site web de l'ANSSI

L'organisme de certification de l'ANSSI rédige les critères d'évaluation et la méthode générique pour la CSPN, ainsi que les méthodes spécifiques à certains types de produits. Il rédige les procédures, les formulaires et tous les documents nécessaires à la mise en œuvre de la norme CSPN, notamment :

  • Procédure d'agrément des centres d'évaluation
  • Modèles pour la rédaction des objectifs de sécurité
  • Rapports techniques d'évaluation
  • Rapports de certification
  • Formulaire de demande CSPN

L'ANSSI s'assure que les centres d'évaluation répondent aux critères énumérés dans la procédure d'agrément. Elle analyse les dossiers de demande de certification (objectif de sécurité, durée des tests, etc.) et autorise ou interdit le lancement de l'évaluation. L'ANSSI valide également l'ETR rédigée par le centre d'évaluation, propose un suivi pour chaque évaluation (certifiée ou non), rédige le rapport de certification et délivre le certificat.

Avec l'accord du sponsor, l'ANSSI publie sur son site web l'objectif de sécurité et le rapport de certification du produit CSPN certifié.

Le développeur est chargé de fournir une assistance technique aux évaluateurs si nécessaire, y compris la formation, les tests et la mise à disposition d'une plate-forme d'évaluation. Cela aide également les développeurs à protéger la propriété intellectuelle d'une entreprise et les produits livrables liés au produit.

Le promoteur de la certification peut proposer la présence d'un observateur (tel qu'un gestionnaire de risques) qui est associé au suivi de l'évaluation et qui a un intérêt spécifique par rapport aux résultats ou à la conduite de l'évaluation. Les observateurs sont toutefois soumis à l'approbation de l'ANSSI.

L'observateur est tenu informé de l'évaluation et des résultats, et peut demander à recevoir la RTE ou une version abrégée de celle-ci.

Le processus CSPN :

Avant d'envoyer une demande de certification CSPN à l'ANSSI, un sponsor doit fournir ou respecter les éléments suivants :

  1. La cible de sécurité du produit doit être décrite et contenir le nom commercial du produit, une référence l'identifiant de manière unique et la version exacte soumise à l'évaluation. Le produit doit être présenté en décrivant son utilisation courante, par qui il sera exploité, dans quel contexte (l'environnement technique), les biens que le produit protège, les menaces contre lesquelles le produit offre une protection, et les contre-mesures de sécurité associées.
  2. Un guide de l'utilisateur et de l'administrateur permettant l'installation, l'administration et l'exploitation du produit.
  3. Une description des mécanismes cryptographiques mis en œuvre dans le produit (le cas échéant) et les tests associés pour permettre à un évaluateur de vérifier la conformité des mécanismes mis en œuvre avec l'objectif de sécurité.
  4. Le domaine technique du produit. Si le promoteur n'est pas à l'aise avec les domaines définis, il peut contacter l'ANSSI pour déterminer si la CSPN s'applique et quel centre peut évaluer le produit.
  5. Le centre d'évaluation doit avoir accès au produit et aux équipements de test (si nécessaire) pour mettre en œuvre l'évaluation.
  6. Le promoteur ne doit pas avoir commencé ou terminé une certification CC sur une version similaire du produit.
  7. Une fois que le promoteur a rassemblé toute la documentation nécessaire, il peut contacter un organisme d'évaluation et signer un contrat pour le domaine technique qui s'applique au produit.

Le sponsor fournit alors à l'ANSSI la documentation suivante :

  • La demande de certification
  • L'objectif de sécurité du produit (tel que décrit ci-dessus)
  • Le cas échéant, la documentation concernant les mécanismes cryptographiques
  • Si une demande n'est pas acceptée, les sponsors doivent retourner à la phase de préparation et traiter les points manquants. Par exemple, l'objectif de sécurité n'est pas correctement formulé, les descriptions sont incomplètes ou l'évaluation est trop complexe dans le délai fixé par la CSPN.

Dès réception de l'avis favorable de l'ANSSI, le centre d'évaluation peut commencer le projet (en fonction des contraintes de temps et de charge de travail) selon un cadre défini par l'ANSSI afin de garantir des résultats cohérents dans toutes les centres d'évaluation agréés, ainsi que pour faciliter la comparaison de produits similaires évalués par différents centres d'évaluation. L'ANSSI peut demander à être impliquée dans tout ou partie du processus et si le centre d'évaluation dépasse le temps prévu, l'ANSSI peut décider de clôturer le processus de certification. Cela ne libère toutefois pas le promoteur de toute obligation contractuelle avec l'établissement d'évaluation. Comme indiqué précédemment, la certification CSPN doit être effectuée dans un délai de huit semaines. Le sponsor peut proposer une adaptation du délai pour des cas spécifiques, mais l'ANSSI se réserve le droit de refuser si elle considère que la CSPN n'est pas bien adaptée à ce type de produit.

L'organisme d'évaluation doit décrire dans son rapport la plate-forme d'essai utilisée pour évaluer la conformité du produit par rapport à l'objectif de sécurité et inclure éventuellement toute autre information concernant les performances, l'interopérabilité avec d'autres appareils et l'utilisation du système.

L'objectif de l'évaluation est d'apprécier la conformité du produit par rapport à son objectif de sécurité, l'efficacité des fonctions de sécurité contre les menaces identifiées et l'impact du produit sur la sécurité du système hôte. Il convient de noter que le dispositif d'évaluation note la résistance théorique des fonctions de sécurité et fournit un avis d'expert sur leur efficacité.

Les résultats de l'analyse, basés sur la documentation disponible sur le produit et les vulnérabilités connues de produits similaires, sont ensuite résumés dans l'ETR, qui doit contenir :

  • Un rappel du contexte de l'analyse (contexte d'utilisation, durée de l'analyse et fonctions de sécurité)
  • Un résumé de la documentation fournissant une description des fonctions de sécurité ou liées à la sécurité
  • Les attentes fonctionnelles du produit (résumé de ses caractéristiques de sécurité)
  • Un inventaire des vulnérabilités du produit (informations provenant du CERT-FR, des bases publiques ou du développeur) et les corrections disponibles applicables
  • Une liste des principaux outils d'analyse utilisés
  • Un résumé des résultats des tests effectués sur le produit
  • Evaluation de la résistance des mécanismes de sécurité et des mécanismes cryptographiques, le cas échéant
  • Un rapport et une notation de toutes les vulnérabilités exploitables identifiées
  • Un avis sur l'ergonomie du produit et des recommandations d'utilisation ou de configuration dans le contexte d'utilisation prévu

Les dernières étapes de la CSPN :

Une fois l'évaluation terminée, l'ANSSI peut exiger des travaux supplémentaires de la part du service d'évaluation s'ils sont jugés insuffisants. Si l'ETR indique que le produit ne répond pas à l'objectif de sécurité, alors le processus de certification prend fin.

Toutefois, si le produit répond à l'objectif de sécurité, le service d'évaluation présentera ensuite les résultats à l'ANSSI. Une démonstration du produit peut être demandée pour cette réunion en face à face et la présence du sponsor peut être requise. Si les résultats de l'examen ETR et de l'évaluation sont positifs, l'ANSSI rédigera le rapport de certification. L'ANSSI notera la résistance des caractéristiques de sécurité du produit et, le cas échéant, des mécanismes cryptographiques. Une fois que le projet de rapport de certification est envoyé au sponsor pour validation et signé, l'ANSSI l'annonce sur son site web, si le sponsor est d'accord.

Il est important de noter que la certification s'applique à une version spécifique du produit et que les nouvelles versions ne sont pas couvertes en soi. Pour remédier à cela, le système CSPN prévoit un processus de continuité pour déterminer comment une nouvelle version du produit peut bénéficier de la certification à des coûts réduits. De même, le promoteur peut demander des examens périodiques pour analyser l'impact de nouvelles vulnérabilités sur le produit.

Il peut s'écouler plusieurs années avant qu'un processus de certification de type CSPN ne devienne populaire aux États-Unis, mais en prenant dès maintenant des mesures pour se familiariser avec ce processus, votre entreprise sera prête le moment venu - et mieux positionnée pour mettre plus rapidement sur le marché des produits sûrs.

The comments are closed.