Evaluation Critères Communs

 

Une procédure de certification met en jeu quatre  acteurs : le commanditaire (organisme  finançant l’évaluation), le développeur du produit, l’Agence  Nationale de Sécurité des Systèmes d’Information (ANSSI),  en tant qu’organisme certificateur en France, et le Centre d’Evaluation de la Sécurité des Systèmes d'Information (CESTI) laboratoire indépendant agréé pour l’évaluation de la sécurité de produits et de systèmes.
Les évaluations en France se déroulent selon les critères communs, normalisés par     l’ISO sous la référence ISO 15408. Sauf accord spécifique de l’ANSSI, il n’est plus        possible de réaliser des évaluations selon les critères européens ITSEC.
 

La première étape consiste à définir le niveau d'évaluation que vous souhaitez atteindre et le périmètre de la cible d’évaluation. Ces deux éléments sont très importants, car c’est eux qui déterminent la charge, le coût et la durée de l'évaluation. Cette étape est la phase de préparation de l’évaluation, qui aboutit à la rédaction de la cible de sécurité du produit, qui correspond au cahier des charges pour l’évaluateur.
Pour cela, nous pouvons, si le client le souhaite, effectuer un audit rapide du processus de développement et de l’environnement de développement, ainsi que de la conception du produit, afin d’estimer le type de fournitures disponibles pour répondre aux besoins de l’évaluation ainsi que la charge de travail interne nécessaire.

 

La seconde étape consiste à la réalisation des tâches d’évaluation. Le CESTI va appliquer la méthodologie d’évaluation associée aux Critères Communs. Pour cela, il est important que le développeur puisse fournir au CESTI toutes les informations dont il a besoin, au moment où il en a besoin, afin de ne pas retarder l’évaluation.
Les tâches réalisées sont variables en fonction du niveau d’évaluation mais prennent  en compte les aspects qualité du développement, tests technique et processus de développement.

 

La durée d'une évaluation est très variable : de quelques mois à plus d'une année, en fonction encore une fois du périmètre et du niveau visé.

 

A l'issue du rapport technique d’évaluation rédigé par le CESTI, l’ANSSI émettra le certificat confirmant le niveau de confiance atteint. Jusqu’à un niveau EAL4, ce certificat sera reconnu par tous les acteurs majeurs en sécurité informatique, en particulier les Etats-Unis d’Amérique, le Canada, l’Europe et le Japon. Une démarche d'évaluation répond donc à une logique industrielle, et est de ce fait un facteur important de différenciation.