NOTRE VISION DE LA SECURITE
Alliance Qualité Logiciel est née de la conviction que l'assurance qualité appliquée au développement de logiciel développe la confiance dans le produit réalisé.
L'engagement d'AQL dans le domaine de la sécurité s'inscrit dans cette conviction. Une politique de sécurité technique doit guider la construction et l'évaluation du produit ou système. Cette politique, définie dès la phase d'expression des besoins, doit être mise en oeuvre et son application contrôlée dans toutes les étapes du développement jusque sur les sites d'exploitation. Ainsi la confiance est obtenue grâce à une démarche adaptée aux exigences et contraintes du projet. Le Centre d'Evaluation de la Sécurité des Technologies de l'Information d'AQL (CESTI) est acteur de cette démarche.
NOTRE VISION DE L'EVALUATION
Pour le CESTI AQL, l'évaluation est un partenariat dont l'objectif est d'améliorer la sécurité du produit ou système et de développer l'assurance dans cette sécurité, attestée par l'obtention d'un certificat.
Ce partenariat, clé de la réussite, commence dès la préparation à l'évaluation. Il permet de déterminer conjointement tous les paramètres de l'évaluation dans l'objectif de définir le meilleur ratio assurance/coût et les actions à mettre en oeuvre pour l'atteindre.
L'échange régulier d'informations entre les équipes de développement et d'évaluation est primordial tout au long du projet. D'abord parce qu'il permet d'anticiper certaines tâches et de garantir par là même un délai minimum. Ensuite, parce que la détection de vulnérabilités dès les phases amont du processus de développement, permet d'élaborer des solutions à moindre coût.
AU SERVICES DE VOS PROJETS
le CESTI AQL s'engage à vos côtés dans la réussite de vos projets.
Quel que soit votre besoin : |
- formation,
- conseil, expertise,
- étude de faisabilité,
- évaluation jusqu'au niveau E6 pour les critères ITSEC et EAL7 pour les Critères Communs. |
|
|
Dans le référentiel de votre choix : |
- ITSEC (Information Technology Security Evaluation Criteria),
- Critères Communs. |
|
|
Dans le domaine technique qui vous concerne : |
- carte à microprocesseur,
- télécommunications,
- systèmes d'exploitation,
- base de données,
- contrôle d'accès,
- application spécifique,
- etc... |
|
|
RESPECT DES EXIGENCES
Le CESTI AQL s'engage à réaliser une évaluation en prenant en compte vos exigences, et en particulier, il s'engage à assurer la confidentialité des informations que vous lui transmettez.
La reconnaissance du centre d'évaluation AQL par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information) est la garantie de son aptitude à assurer la confidentialité des informations relatives à votre projet. Les évaluateurs du CESTI AQL sont particulièrement informés et vigilants quant à ce point. Ils adaptent leurs méthodes de travail au niveau de confidentialité que vous souhaitez.
Le CESTI AQL est situé dans des enceintes réservées au sein d'un bâtiment sécurisé dès sa conception. Un cloisonnement est possible jusqu'au niveau d'un bureau équipé d'un système d'information autonome.
Le centre d'évaluation, tout en étant indépendant, bénéficie de la structure d'AQL, société indépendante dont le capital est détenu essentiellement par des personnes physiques.
AQL applique une politique de sécurité qui se décline dans une organisation et des procédures périodiquement auditées par les autorités compétentes.
DEMARCHE DE PROGRES A VOTRE SERVICE
Le domaine de la sécurité évolue continuellement. Il est donc nécessaire, pour vous apporter le meilleur service, de mener une veille technologique permanente. AQL travaille particulièrement sur les sujets suivants : méthodes formelles, applications de la cryptographie, virus, paiement électronique, sécurité des grands systèmes, télécommunications, critères et méthodes d'évaluation. Certaines de ces activités sont réalisées en partenariat avec des clients.
Les relations étroites d'AQL avec des centres de recherche, des organismes de normalisation, des écoles d'ingénieurs et des universités permettent des échanges de connaissances qui viennent enrichir régulièrement les résultats des travaux internes.
Par ailleurs, le CESTI AQL a réalisé de nombreuses études méthodologiques dans l'objectif d'améliorer son processus d'évaluation. Depuis 1992, le CESTI AQL réalise des évaluations. Au cours de chaque évaluation, les évaluateurs contribuent à l'enrichissement du processus.
Le centre d'évaluation bénéficie également du système qualité d'AQL certifié ISO 9001. Le manuel qualité d'évaluation est le résultat d'un travail commun entre des équipes qualité et technique du CESTI. L'intégration du manuel qualité d'évaluation dans le manuel qualité totale garantit que le système qualité est vécu au quotidien et parfaitement maîtrisé.
ORGANISATION ADAPTEE
Pour mener à bien et efficacement une évaluation, plusieurs compétences doivent être associées :
- compétences en terme de méthodologie sécurité et qualité,
- compétences dans le domaine technique lié au contexte de votre projet : base de données, télécommunications, système d'exploitation,...
Dès le lancement du projet que vous confiez au CESTI AQL, nous formons une équipe associant des experts ITSEC et des experts techniques du domaine de la cible d'évaluation.
Notre organisation nous permet de réagir rapidement à l'arrivée d'une fourniture. Si l'évaluation est menée en parallèle au développement, notre méthode de travail qui consiste à préparer les tâches finales tout au long de l'évaluation permet de limiter le délai entre la disponibilité du produit et la fin de l'évaluation.
REPONSES A VOS BESOINS
Nous pouvons intervenir auprès de vos équipes pour :
une présentation des critères d'évaluation et de leurs enjeux. Cette présentation est destinée à un public de décideurs ;
une formation dont l'objectif est de donner aux membres de l'équipe de développement une vision commune des critères ITSEC (ou CC(Critères Communs)) ainsi que des conseils pour contourner les difficultés fréquemment rencontrées au cours d'une évaluation. Cette formation est illustrée par des exemples concrets ;
une étude de faisabilité afin d'estimer les travaux et de permettre l'élaboration d'un dossier d'évaluation. La cible de sécurité est analysée, le référentiel qualité pour le développement est confronté aux exigences des critères, une liste des fournitures à évaluer est construite ;
une évaluation d'un produit (environnement d'exploitation supposé) ou d'un système (environnement d'exploitation connu), d'un module logiciel jusqu'à un grand système composé de plusieurs équipements, du niveau :
- E1 jusqu'au niveau E6, pour les critères ITSEC,
- EAL1 jusqu'à EAL7, pour les Critères Communs
en parallèle au développement ou de manière consécutive, dans le cadre du schéma français d'évaluation et de certification ;
un programme de maintenance dont l'objectif est de conserver l'acquis d'une évaluation pour les nouvelles versions du même produit ou même pour d'autres produits développés dans le même environnement ;
rédaction et/ou évaluation d'un Profil de Protection (PP) selon les Critères Communs.
du conseil sur la prise en compte de la sécurité dans le développement ou de l'expertise s'appuyant sur des techniques de sécurité bien maîtrisées.
REALISATIONS
Firewall |
Evaluation ITSEC au niveau E4 d'un firewall bâti autour de paniers de filtrage VME et d'une station de supervision. |
|
|
Système de communication |
Evaluation ITSEC du produit de téléphonie numérique sécurisé RANCH ( Régie d'Abonné Numérique Chiffrante ) au niveau E3. Ce produit comprend deux types de terminaux chiffrants et des serveurs assurant leur supervision, l'authentification des interlocuteurs et la distribution des clés. |
|
|
Logiciel PC |
Evaluation ITSEC d'un produit commercial au niveau E2 |
|
|
Lecteur de cartes |
Evaluation ITSEC d'un lecteur de cartes intelligent (logiciel et matériel). |
|
|
Application militaire |
Participation à l'évaluation ITSEC pilote d'un logiciel de confiance militaire, au niveau E4 |
|
|
Carte à microprocesseur |
Evaluation du masque de programme d'une carte à microprocesseur. |
|
|
Système d'exploitation |
Evaluation du système UNIX HARRIS : solution UNIX sécurisée comportant matériel, logiciel de base (ATT System V - interface Berkeley) et logiciel réseau. Les principales caractéristiques de l'évaluation sont :
- évaluation consécutive,
- niveau visé E3,
- classe de fonctionnalité F-B1.
Ce système a été évalué avec succès aux Etats Unis selon les critères américains TCSEC au niveau B1. Ses principales fonctions sont donc :
- contrôles d'accès par mandat et discrétionnaire,
- identification et authentification des utilisateurs,
- audit des actions effectuées sur le système,
- effacement des objets avant leur réutilisation. |
|
|
Base de données |
Evaluation d'ORACLE V7 sécurisé :
- comparaison des fonctions et des performances d'ORACLE V7 et d'ORACLE V7 sécurisé (associé au système d'exploitation SUN-CMW).
- analyse de la documentation d'évaluation d'ORACLE V7 sécurisé. Une analyse indépendante des fournitures a été réalisée. Les résultats obtenus ont été confrontés aux rapports issus de l'évaluation menée en Angleterre au niveau E3 |
|
|
AGL |
Analyse sécurité de l'atelier de génie logiciel Entreprise II en vue de son évaluation :
- comparaison de la fonctionnalité de l'atelier existant par rapport aux exigences de la classe de fonctionnalité F-SEE-2 ; définition de fonctions et mécanismes de sécurité.
- confrontation de la documentation actuelle de l'atelier aux exigences du niveau d'évaluation E2 des ITSEC.
- pré-analyse d'efficacité en vue d'identifier des vulnérabilités. |
|
|
Systèmes de communication |
Préparation à l'évaluation d'un produit de téléphonie sécurisé :
- revue de la cible de sécurité,
- analyse du référentiel qualité développeur,
- présentation d'une démarche pour les analyses d'efficacité.
Préparation à l'évaluation d'une extension d'un système de traitement de messages à un environnement bureautique. |
|
|
Profil de protection |
Evaluation selon les Critères Communs du profil de protection d'un firewall. |
|
|
Formations |
Formation aux critères d'évaluation sur une ou deux journées : Thomson, Gemplus, Schlumberger, Supélec, Matranet, Centre d'Instruction à la Sécurité des Industriels de l'Armement (CISIA). |
|
|
Pour cause de confidentialité, certaines références ne sont pas détaillées.
|