Le standard ISO 15408, qui vient d’être rendu public, permet de distinguer les exigences fonctionnelles et les contraintes d’assurance, dans le cadre d’une évaluation de la sécurité d’un système informatique. Une caractéristique dont étaient dénués ses standards cousins, les ITSec (Information technology security evaluation criterias).
Des projets de sécurité plus cohérents
” Il s’agit de s’assurer que, d’une part, les fonctions de sécurité sont pertinentes, efficaces et correctement mises en ?”uvre, et, d’autre part, que tous les mécanismes de sécurité critiques ont été testés pour établir leur capacité à résister aux attaques directes et indirectes “, explique Georges Faidherbe, responsable de la normalisation chez CF6. L’intérêt de la norme ISO 15408 est donc d’offrir aux entreprises a possibilité d’instaurer une véritable cohérence dans la sécurité de leur système d’information. Cette harmonisation se décline selon onze exigences fonctionnelles (chiffrement, authentification, identification, etc.) et sept niveaux d’assurance (telle la résistance des mécanismes). ” Cette norme permet ainsi de bâtir des projets de sécurité sous leurs aspects techniques, organisationnels et normatifs, en parfaite harmonie avec les besoins exprimés. Les coûts et la mise en ?”uvre sont alors diminués, tandis que la sécurité s’en trouve renforcée “, insiste Georges Faidherbe. Le concept de base de cette nouvelle norme est défini par les profils de protection (PP). “Un profil de protection est un ensemble de besoins de sécurité, regroupant l’environnement de sécurité dans lequel il évolue, les objectifs de sécurité retenus, les exigences fonctionnelles et d’assurance, et les justificatifs nécessaires au laboratoire d’évaluation”, poursuit-il. Les profils de protection peuvent être publiés. Ils sont disponibles sur Internet et réutilisables par les entreprises en fonction des projets qu’elles souhaitent mener. Par exemple, la sécurisation d’un Intranet peut avoir fait l’objet de plusieurs PP, selon différents objectifs de sécurité.
Les profils de protection doivent être évalués par des centres agréés
La réutilisation sous-entend cependant une contrainte : l’entreprise utilisatrice d’un PP existant ne peut qu’ajouter des exigences de sécurité au PP publié, et non pas en enlever. ” L’objectif est de permettre une sécurisation des systèmes d’information, toujours plus performante “, ajoute Georges Faidherbe. Enfin, les PP doivent être évalués par des Cesti (centres d’évaluation de la sécurité des technologies de l’information) agréés. ” CF6, par son expertise acquise en quinze ans d’activité dans la sécurité des systèmes d’information, se porte candidat à l’agrément Cesti auprès des services compétents du SCSSI (Service central de la sécurité des systèmes d’information) “, conclut le responsable de la normalisation chez CF6. ;
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.