lundi 18 décembre 2017

Accueil du site > Informatique > Sécurité Informatique > Sécurité : que vaut la certification française ?

Sécurité : que vaut la certification française ?

Christophe Dupont Elise, 01 Informatique

vendredi 10 juin 2005, sélectionné par Spyworld

logo

Le Français Netasq décroche le sceau de la Direction centrale de la sécurité des systèmes d’information. Mais le jeu en vaut-il la chandelle ?

Et de deux ! Après le pare-feu de l’éditeur français Arkoon, c’est au tour de son compatriote Netasq d’être adoubé par la Direction centrale de la sécurité des systèmes d’information (DCSSI). L’organisme étatique lui a délivré une certification selon les Critères communs (norme ISO 15408), au niveau de fiabilité EAL2+. Netasq obtient aussi la qualification standard, gage de confiance de la DCSSI pour une utilisation par les pouvoirs publics dans le cadre d’un traitement d’informations sensibles.

Une procédure élastique

A cinq mois d’intervalle, deux des principaux éditeurs francais spécialistes de la sécurité bénéficient donc d’un label reconnu par près de vingt pays dans le monde. Mieux, la fiabilité de leurs solutions est approuvée par la première institution de sécurité des systèmes d’information français. Seulement voilà, la comparaison s’arrête là. Si les performances de ces produits ne sont pas à remettre en cause, le processus d’accréditation présente encore des limites et des imprécisions. Ce certificat en apparence unique est à géométrie variable et sa couverture fonctionnelle varie selon les contextes.

D’une part, rien n’impose à un fournisseur de faire certifier l’ensemble des fonctions de son produit. Arkoon s’est concentré sur le centre névralgique d’un pare-feu, le filtrage. Netasq, lui, a fait valider tous les composants de son offre : le pare-feu, mais aussi les fonctions de réseau privé virtuel (RPV), de système de prévention d’intrusions, de serveur d’administration à distance, d’authentification et d’audit.

D’autre part, le profil de protection adopté diffère d’une certification à l’autre. Ce document, censé être générique, définit les besoins de sécurité communs à une catégorie de produits (pare-feu, RPV, etc.), à une administration ou à une industrie. Il précise aussi les exigences de fiabilité auxquelles un deuxième document, la cible de sécurité, devra se conformer. Ce dernier délimite ce qui doit être vérifié fonctionnellement. Or, la DCSSI ne s’est penchée que récemment sur la définition de profils de protection adaptés aux besoins définis par ses administrations.

Pour l’heure, le profil ­ comme la cible ­ évolue au cas par cas. A chaque nouvelle soumission d’un produit par un fournisseur, la DCSSI recadre les besoins de ses administrations. Par exemple, la cible de sécurité de Netasq s’est inspirée de ces travaux récents, alors que celle d’Arkoon ­ faute de mieux ­ était tirée du seul profil de protection alors disponible ­ en l’occurrence un américain.

Un référentiel aux contours flous

Sans préjuger de la qualité des deux solutions déjà certifiées, on constate que les référents utilisés diffèrent sensiblement. Si la certification évolue dans le bon sens, la DCSSI, elle, avance donc à tâtons. Les travaux pour définir des profils de protection par famille de produits ont ainsi été entamés en fin 2003 avec le projet Mélèze.

Cette initiative, qui concerne le pare-feu, a réuni un groupe de travail composé d’une douzaine de représentants des administrations et grands comptes français, ainsi que de huit éditeurs hexagonaux. Même lentement, les travaux ont avancé. Mais d’autres projets similaires ont ensuite vu le jour pour les autres profils de protection (RPV, infrastructure à clés publiques).

Et ces derniers sont venus chambouler les premiers travaux... Ainsi, le profil de protection du pare-feu déjà défini, ou en passe de l’être, a dû être entièrement refondu pour correspondre à celui du RPV. Alors que de nombreux produits combinent les deux fonctions, les profils, eux, ne pouvaient fusionner pour aboutir à un document utilisable...

Aucune exigence de certification

Du coup, cette absence de référentiels publics a un impact direct sur l’adoption des produits certifiés. Dans le cadre d’un appel d’offres, une administration n’est ainsi pas en mesure d’exiger comme critère déterminant que les produits présentés soient certifiés. Car tout en étant en accord avec les préceptes de la DCSSI, un fournisseur étranger ne sait pas à quel profil de protection il doit se référer pour certifier son offre.

La solution consisterait à rédiger et à mettre à disposition des référentiels publics. L’article premier du décret du 18 avril 2002, relatif à l’évaluation et à la certification de la sécurité des systèmes, ne fait d’ailleurs qu’inciter les administrations de l’Etat à recourir à des produits labellisés. On évite ainsi l’accusation d’entrave à la concurrence de la part des autorités communautaires.

Cette référence à une norme, à un profil de protection public, lèverait tout soupçon en établissant une règle du jeu claire, à laquelle tout acteur pourrait se conformer. La situation actuelle n’avantage donc que peu les sociétés passées par le chemin de la certification, puisque les administrations ne disposent pas des moyens de faire valoir que ce label est déterminant dans leur choix.

Des solutions non certifiées par la DCSSI ont donc tout loisir de remporter des appels d’offres. Et elles y parviennent, sans même dépenser les 80 000 à 150 000 euros que coûte, en moyenne, la procédure de certification. Les référentiels cryptographiques, domaine de prédilection de la France, sont disponibles depuis longtemps. Il est désormais grand temps que la DCSSI communique ceux relatifs à la sécurisation des réseaux et systèmes d’information.

Peu de produits réseaux certifiés

Les logiciels de sécurisation des réseaux bénéficiant d’une certification de la DCSSI sont encore peu nombreux. Aujourd’hui, deux labels coexistent : les Critères Communs et le vieillissant ITSec. Le label critères communs

Arkoon : Pare-feu FAST v. 3.0

EADS : M>Tunnel v. 2.5 (solution matérielle et logicielle de RPV)

Evidian : Pare-feu Netwall v. 6.2 (en cours)

Netasq : Solution IPS Firewall & VPN v. 5.0

Le label ITSEC

ACE Timing : Pare-feu SIS (Système d’interconnexion sécurisé)

EADS : Pare feu M>Wall 4.0 sur BSD 3.1

Evidian : Pare-feu Netwall v. 4.0 sur AIX 4.2

Thales : Pare-feu Fox v. 3.2.6 (solution matérielle et logicielle)

La Direction centrale de la sécurité des systèmes d’information

Création : par décret le 31 juillet 2002, dans la continuité de l’action du Service central de la sécurité des systèmes d’information.

Rattachement : organisme dépendant du Premier ministre et placé sous l’autorité du secrétaire général de la Défense nationale.

Directeur : Henri Serres. Ses missions

Contribuer à l’expression de la politique gouvernementale en matière de sécurité des systèmes d’information (SI).

Autorité nationale de régulation pour la sécurité des SI de l’Etat.

Délivrance des agréments, cautions et certificats.

Formation et sensibilisation.

Centre d’expertise pour les pouvoirs publics.

Evaluation des menaces et alerte.

Suite de l’article
- Vrai/Faux
- Thierry Dassault (Dassault Multimédia et Keynectis S.A.) : « La France manque d’une véritable politique industrielle de sécurité »


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :