De manière assez surprenante, la France fait fructifier son expérience dans la sécurité des cartes à puce. La société rennaise AQL, filiale du Groupe Silicomp, a évalué au niveau EAL 1+ (1) la ligne de production de composants de cartes à puce de NEC. L’évaluation porte ici non pas sur un produit, mais sur un système. Ce qui va à contre-courant des pratiques actuelles. Agréée laboratoire Cesti (2), AQL est l’une des trois entreprises habilitées à réaliser des évaluations des Critères Communs (CC) dans l’Hexagone. Pour remettre ce certificat aux dirigeants de NEC, le directeur de la DCSSI (Direction centrale de la sécurité des systèmes d’information), Henri Serres, s’est déplacé en personne à Tokyo.A l’origine, tout est parti de NEC France, qui a installé à Vélizy son centre d’expertise en cartes à puce. Prenant acte du retard japonais dans la mise au point de son propre programme d’évaluation des Critères Communs, le directeur sécurité de NEC France, Joël Le Bihan, a cherché des points d’appui en Europe. Les contacts noués avec le BSI et le CESG, homologues allemand et britannique de la DCSSI, n’ont toutefois pas porté leurs fruits. Seule cette dernière s’est finalement montrée réceptive à une approche fondée sur l’évaluation système. Main dans la main avec AQL, elle a ainsi mis au point un schéma d’évaluation correspondant à cette approche.En l’état actuel, les CC ne fournissent que l’esquisse de l’évaluation d’un système. Leur mise en ?”uvre pour NEC a donc nécessité une pirouette. Pour ce faire, AQL a rédigé un document définissant les niveaux de sécurité ciblés de l’environnement dans lequel s’effectue le développement du produit. La couverture potentielle de cette cible étant très large, les frontières de l’environnement ont donc eu besoin d’être strictement limitées.
Un allégement des procédures et des coûts
AQL n’a toutefois pris en compte que les exigences de sécurité qui revêtent un caractère obligatoire. Il prend comme point de référence le profil de protection PP/9806 (ISO 15408), conçu au milieu des années quatre-vingt-dix par l’industrie française de la carte à puce.La cible de sécurité couvre quand même l’évaluation de la sécurité de l’environnement physique, du système d’information et des politiques de sécurité. Ce qui correspond au niveau EAL 1+. En plus de l’évaluation de son usine à Yamaguchi, NEC applique la même démarche à son centre de conception de cartes à puce, à Kumamoto. Celle de son usine européenne d’Edimbourg, spécialisée dans la fabrication de mémoires Dram, suivra dans la foulée. NEC table ainsi sur un allègement des procédures et des coûts lorsqu’il aura à franchir de plain-pied l’étape de l’évaluation de ses produits.Car force est de constater que celle-ci demeure le nerf de la guerre commerciale. Dans le domaine bancaire, par exemple, les exigences de sécurité en matière de cartes à puce descendent rarement en dessous d’un niveau EAL 4+. Les fabricants historiques des composants pour cartes à puce investissent d’ailleurs massivement dans la mise à jour régulière de leurs certificats. En face, NEC inscrit sa démarche dans celle d’un nouvel entrant. Ses dirigeants nippons affirment viser d’emblée le haut du pavé des composants Risc à 32 bits. Car ils reconnaissent que, sur le segment actuel des composants à 16 et 8 bits, les positions sont déjà prises pas ses concurrents européens, dont Infineon et STMicroelectronics.(1) Comptant sept niveaux principaux, l’échelle des EAL (Evaluation Assurance Level) est définie par les critères communs (CC-ISO 15408). (2) Centre d’évaluation de la sécurité des technologies de l’information.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.