5
mars
2012

Labellisation de la sécurité : quelle différence entre certification et qualification ?

Exploitation Universign Exploitation Universign
0 commentaires
Avis d’expert

Lorsque l’on souhaite acquérir ou utiliser un produit sensible en matière de sécurité (système d’exploitation, outil de signature électronique, carte à puce, PKI, etc.), l’une des premières questions que l’on se pose est invariablement la suivante : comment évaluer son niveau de sécurité ? Et comment savoir si cette sécurité est suffisante pour répondre à ses besoins ?

Pour répondre à ces interrogations, il est important de pouvoir se référer à des labels délivrés par des organismes officiels offrant une évaluation indépendante et impartiale des produits et services que l’on souhaite utiliser.

En France, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), autorité nationale en matière de sécurité des systèmes d’information, est chargée d’organiser la délivrance, et de décerner, au nom du Premier ministre, des labels de sécurité à des produits et à des prestataires de services de confiance.

À l’heure actuelle, l’ANSSI reconnaît et délivre deux grandes catégories de labels :

  • la certification des produits ;
  • la qualification des produits et des services.

Mais quelle est la différence entre les deux ? Voici quelques éléments de réponse pour les non-spécialistes de la sécurité, accompagnés d’une description des principales certifications et qualifications délivrées par l’ANSSI aujourd’hui.

De la « certification et qualification des portes »

Afin de mieux cerner la différence entre ces deux labellisations, prenons en préambule pour les besoins de la compréhension, un exemple volontairement simpliste et purement imaginaire dans le domaine de la sécurité physique des bâtiments : autorisons-nous à envisager ce que seraient la certification et qualification d’une porte « au sens de la sécurité informatique » .

Les portes n’ont pas toutes le même niveau de sécurité selon leurs caractéristiques et en particulier selon leur nombre de points de fermetures : il existe des portes à un point, deux points, trois points, cinq points, etc.

La « certification d’une porte » au sens de la sécurité informatique consisterait à faire un document officiel mentionnant son nombre de points de fermetures (cible de sécurité) et par la suite à faire vérifier par un organisme indépendant que la porte a bien le nombre de points de fermeture tel qu’indiqué dans ce document. On peut donc imaginer pouvoir faire certifier toutes les gammes de portes (un, deux, trois, cinq points, etc.).

En revanche, la « qualification d’une porte » ne serait par exemple définie dans un référentiel officiel que pour les portes ayant au moins trois points de fermetures. Le processus de qualification consisterait à faire vérifier par un organisme indépendant officiel que la porte a bien trois points ou plus.

En résumé, dans cet exemple la certification consiste « à faire certifier que la porte a bien le nombre de points de fermeture qu’elle affiche » et la qualification consiste « à faire certifier que la porte a au moins trois points de fermeture ».

On l’aura compris : les deux notions sont proches mais pas équivalentes du point de vue de la sécurité.

La certification des produits

Principe général

La certification d’un produit s’effectue en deux temps :

  1. La première étape consiste à définir pour un « périmètre produit » un ensemble d’objectifs de sécurité et à y associer un certain nombre de règles et de prescriptions de sécurité permettant de les atteindre. Tous ces éléments sont consignés dans un document baptisé « cible de sécurité » selon un formalisme spécifique. Ce document permet d’évaluer et de positionner le niveau de sécurité du produit et de s’accorder sur ce qui est effectivement certifié (la puce, ou le lecteur et la puce, etc.). L’éditeur ou fournisseur est relativement libre dans la rédaction de la cible de sécurité et choisit de placer le curseur où il le souhaite en termes de sécurité et de périmètre produit. Dire qu’un produit est certifié n’a donc pas beaucoup de sens si on ne précise pas le niveau de sécurité, ni les composants du produit impliqués dans la certification.
  2. La seconde étape consiste tout bonnement à faire vérifier par un laboratoire indépendant et accrédité  que le produit respecte bien la cible de sécurité établie. C’est la procédure d’évaluation à proprement parler.
    La certification Critères Communs

La certification Critères Communs

La principale certification de produits délivrée par l’ANSSI est la certification Critères Communs (CC – Common Criteria en anglais). Les Critères Communs sont une norme d’évaluation  de la sécurité des produits internationalement reconnue (la liste des pays reconnaissant les CC en cliquant ici). Cette norme couvre l’ensemble des phases du développement d’un produit et notamment le design son architecture, la robustesse des algorithmes implémentés, son environnement de développement, la façon dont il est remis à l’utilisateur final, etc.

La sécurité est envisagée de façon globale. Les CC définissent 7 niveaux de sécurité croissants, notés de EAL1 à EAL7, chacun des niveaux apportant des contraintes supplémentaires en matière de sécurité. Afin de prouver qu’un produit respecte bien les recommandations décrites dans la norme, un processus de certification est mis en place. En France, ce processus de certification est sous le contrôle de l’ANSSI qui mandate des laboratoires spécialisés indépendants, appelés Centres d’Evaluation de la Sécurité des Technologies de l’Information (CESTI), pour évaluer le produit vis-à-vis de la norme CC.

Les laboratoires doivent, d’une part, être accrédités par le comité français d’accréditation (COFRAC) selon la norme NF EN ISO/CEI 17025 et doivent être indépendants de la société qui a conçue le produit, afin d’apporter au client la confirmation impartiale que le produit répond bien aux critères énoncés dans la cible et dans la norme.

Les certificats émis par l’ANSSI par délégation du Premier ministre attestent que les produits certifiés sont conformes à une spécification technique appelée cible de sécurité, qui est une spécification définissant l’ensemble des mécanismes de sécurité mis en place pour le produit. Le travail du CESTI va être d’évaluer que le produit est bien conforme à cette spécification. C’est le document de référence, véritable fil d’Ariane de l’évaluation.

Les critères communs n’imposent pas de fonctionnalités spécifiques à inclure dans la cible. Comme expliqué précédemment, chacun est libre de définir le contenu de sa cible de sécurité tant qu’il respecte les règles définies dans la norme. Cependant, afin d’évaluer certaines « familles » de produits – par exemple les dispositifs de signature électronique, les cartes à puces, les applications d’horodatage – sur des critères similaires et sur des fonctionnalités standardisés, il existe des « cibles type » appelés profils de protection qui ont été validés par l’ANSSI ou l’un des autres organismes internationaux (le BSI par exemple, qui est en Allemagne l’équivalent de l’ANSSI). La liste des profils de protection est disponible sur le site de l’ANSSI. Un profil de protection définit un ensemble de fonctionnalités de sécurité communes à chaque famille de produit (par exemple, pour un dispositif de signature électronique, l’une d’entre elles consistera à exiger qu’une authentification soit réalisée avant de signer). Il est alors possible de définir une cible en conformité avec un profil de protection donné et cette conformité sera évaluée également lors du processus d’évaluation.

Une fois l’ensemble des tâches d’évaluation passé avec succès, le CESTI transmet à l’ANSSI un dossier contenant l’ensemble des résultats et des travaux d’évaluation. Sur la base de ce dossier, l’ANSSI délivrera un certificat qui atteste, au jour de sa signature, de la conformité d’une version précise d’un produit ou d’un système aux exigences listées dans sa cible de sécurité. Un certificat doit être renouvelé au cours du temps ou selon l’avancement de l’état de l’art en matière de sécurité.

La qualification des produits et services

Principe général

La qualification des produits et des services s’effectue également en deux étapes :

  1. La première consiste à choisir un référentiel de sécurité, dont le but est de fixer le niveau de sécurité à atteindre pour obtenir la qualification en question. Un référentiel est un ensemble de règles et de bonnes pratiques de sécurité. Contrairement à la certification, la qualification ne permet pas d’ajuster ce référentiel et fixe toutes les exigences de sécurité. Autrement dit, dans un processus de qualification, l’éditeur ou fournisseur n’est pas libre de positionner le curseur où il le souhaite en matière de sécurité ou de périmètre du produit. Il doit se conformer à un certain nombre d’obligations de sécurité bien spécifiées pour obtenir la qualification. Parmi ces exigences, figure bien souvent l’obtention d’une certification.
  2. La seconde consiste à faire vérifier par un auditeur indépendant et accrédité que le produit respecte bien le référentiel associé à la qualification. C’est la procédure d’évaluation à proprement parler.

La qualification d’un produit

La qualification de produits de sécurité vient en complément de la certification Critères Communs. Légalement, elle fait l’objet du chapitre III du décret n° 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 20005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les autorités administratives et les usagers. Une qualification permet d’attester de la conformité d’un produit de sécurité au RGS (Référentiel Général de Sécurité). Ce document et ses nombreuses annexes définissent un ensemble de règles de sécurité qui s’imposent aux administrations dans la sécurisation de leurs systèmes d’information.

La qualification prévoit trois niveaux de qualification, un niveau élémentaire, un niveau standard et un niveau renforcé. Là encore, c’est l’ANSSI qui suit les dossiers de qualification et les attestations de qualification. La procédure au niveau standard et au niveau renforcé s’appuie sur les critères communs, cependant, l’ANSSI procède à des contrôles complémentaires : d’une part, elle valide elle-même la cible de sécurité au regard des besoins de l’administration. D’autre part, elle réalise ou fait réaliser des tests sur les algorithmes cryptographiques et leur implémentation. L’ensemble des algorithmes décrits dans la cible et rendant un service de sécurité fera l’objet d’une analyse et de tests (c’est-à-dire d’attaques), afin de s’assurer de leur robustesse.

La qualification d’un service selon le RGS

En plus de la qualification de produit, l’ANSSI prend en considération la qualification de services de sécurité et de confiance : lorsque l’on opère un service, il n’est pas suffisant d’utiliser du matériel certifié ou même qualifié, il est également nécessaire de l’opérer dans de bonnes conditions de sécurité. De fait, la qualification des prestataires de services de confiance fait l’objet du chapitre IV du décret n° 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 20005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les autorités administratives et les usagers. Elle permet d’attester de la conformité d’un prestataire de services de confiance aux règles du RGS qui lui sont applicables. La qualification prévoit trois niveaux de sécurité (*), (**) ou (***).

Une fois le niveau déterminé, le prestataire de service est alors audité par un organisme accrédité. À ce jour, seul le LSTI a reçu cette accréditation. Le décret précité (article 4) prévoit que le recours à des prestataires de services de confiance qualifiés soit la règle générale pour les administrations, les exceptions devant être justifiées.

Les qualifications en matière de preuve électronique

Par ailleurs, il existe deux autres schémas de qualification de service spécifiques au domaine de la preuve électronique :

L’un est relatif aux prestataires de services de certification électronique au sens du décret n° 2001-272 (dit « signature électronique ») et décrit dans l’arrêté du 26 juillet 2004. Cet arrêté encadre et définit la reconnaissance de la qualification des prestataires de services de certification électronique aptes à délivrer des certificats qualifiés permettant une signature électronique présumée fiable.

L’autre est relatif aux prestataires de services d’horodatage électronique au sens du décret n° 2011-434 (dit « horodatage électronique ») et décrit dans l’arrêté du 20 avril 2011. Cet arrêté encadre et définit la reconnaissance de la qualification des prestataires de services d’horodatage électronique aptes à mettre en œuvre un procédé d’horodatage présumé fiable.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Testez Universign