CENTRE D'EVALUATION DE LA SECURITE DES TECHNOLOGIES DE L'INFORMATION

English version

NOTRE VISION DE LA SECURITE

NOTRE VISION DE L'EVALUATION

AU SERVICE DE VOS PROJETS

LE RESPECT DE VOS EXIGENCES

UNE DEMARCHE DE PROGRES A VOTRE SERVICE

UNE ORGANISATION ADAPTEE

EN REPONSE A VOS BESOINS

PARMI NOS REALISATIONS

NOTRE VISION DE LA SECURITE

Alliance Qualité Logiciel est née de la conviction que l'assurance qualité appliquée au développement de logiciel développe la confiance dans le produit réalisé.
L'engagement d'AQL dans le domaine de la sécurité s'inscrit dans cette conviction. Une politique de sécurité technique doit guider la construction et l'évaluation du produit ou système. Cette politique, définie dès la phase d'expression des besoins, doit être mise en oeuvre et son application contrôlée dans toutes les étapes du développement jusque sur les sites d'exploitation. Ainsi la confiance est obtenue grâce à une démarche adaptée aux exigences et contraintes du projet. Le Centre d'évaluation de la Sécurité des Technologies de l'Information d'AQL (CESTI) est acteur de cette démarche.

NOTRE VISION DE L'EVALUATION

Pour le CESTI AQL, l'évaluation est un partenariat dont l'objectif est d'améliorer la sécurité du produit ou système et de développer l'assurance dans cette sécurité, attestée par l'obtention d'un certificat.
Ce partenariat, clé de la réussite, commence dès la préparation à l'évaluation. Il permet de déterminer conjointement tous les paramètres de l'évaluation dans l'objectif de définir le meilleur ratio assurance/coût et les actions à mettre en oeuvre pour l'atteindre.
L'échange régulier d'information entre les équipes de développement et d'évaluation est primordial tout au long du projet. D'abord parce qu'il permet d'anticiper certaines tâches et de garantir par là même un délai minimum. Ensuite, parce que la détection de vulnérabilités dès les phases amont du processus de développement, permet d'élaborer des solutions à moindre coût.

AU SERVICE DE VOS PROJETS

Quel que soit votre besoin :	formation, conseil, expertise, étude de faisabilité, évaluation jusqu'au niveau E6,
Dans le référentiel de votre choix :	ITSEC (Information Technology Security Evaluation Criteria), Critères Communs,
Dans le domaine technique qui vous concerne :	carte à microprocesseur, télécommunications, base de données, contrôle d'accès, application spécifique, etc...

le CESTI AQL s'engage à vos côtés dans la réussite de vos projets.

LE RESPECT DE VOS EXIGENCES

Le CESTI AQL s'engage à réaliser une évaluation en prenant en compte vos exigences et, en particulier, il s'engage à assurer la confidentialité des informations que vous lui transmettez.
La reconnaissance du centre d'évaluation AQL par le SCSSI (Service Central de la Sécurité des Systèmes d'Information) est la garantie de son aptitude à assurer la confidentialité des informations relatives à votre projet. Les évaluateurs du CESTI AQL sont particulièrement informés et vigilants quant à ce point. Ils adaptent leurs méthodes de travail au niveau de confidentialité que vous souhaitez.
Le CESTI AQL est situé dans des enceintes réservées au sein d'un bâtiment sécurisé dès sa conception. Un cloisonnement est possible jusqu'au niveau d'un bureau équipé d'un système d'information autonome.
Le centre d'évaluation, tout en étant indépendant, bénéficie de la structure d'AQL, société indépendante dont le capital est détenu essentiellement par des personnes physiques.
AQL, autorisée à traiter des marchés classés de défense, applique une politique de sécurité qui se décline dans une organisation et des procédures périodiquement auditées par les autorités compétentes.

UNE DEMARCHE DE PROGRES A VOTRE SERVICE

Le domaine de la sécurité évolue continuellement. Il est donc nécessaire, pour vous apporter le meilleur service, de mener une veille technologique permanente. AQL travaille particulièrement sur les sujets suivants : méthodes formelles, applications de la cryptographie, virus, paiement électronique, sécurité des grands systèmes, télécommunications, critères et méthodes d'évaluation. Certaines de ces activités sont réalisées en partenariat avec des clients.
Les relations étroites d'AQL avec des centres de recherche, des organismes de normalisation, des écoles d'ingénieurs et des universités permettent des échanges de connaissances qui viennent enrichir régulièrement les résultats des travaux internes.
Par ailleurs, le CESTI AQL a réalisé de nombreuses études méthodologiques dans l'objectif d'améliorer son processus d'évaluation. Depuis 1992, le CESTI AQL réalise des évaluations. Au cours de chaque évaluation, les évaluateurs contribuent à l'enrichissement du processus.
Le centre d'évaluation bénéficie également du système qualité d'AQL certifié ISO 9001. Le manuel qualité d'évaluation est le résultat d'un travail commun entre des équipes qualité et technique du CESTI. L'intégration du manuel qualité d'évaluation dans le manuel qualité totale garantit que le système qualité est vécu au quotidien et parfaitement maîtrisé.

UNE ORGANISATION ADAPTEE

Pour mener à bien et efficacement une évaluation, plusieurs compétences doivent être associées :

- compétences en terme de méthodologie sécurité et qualité,
- compétences dans le domaine technique lié au contexte de votre projet : base de données, télécommunications, système d'exploitation..

Dès le lancement du projet que vous confiez au CESTI AQL, nous formons une équipe associant des experts ITSEC et des experts techniques du domaine de la cible d'évaluation.
Notre organisation nous permet de réagir rapidement à l'arrivée d'une fourniture. Si l'évaluation est menée en parallèle au développement, notre méthode de travail qui consiste à préparer les tâches finales tout au long de l'évaluation permet de limiter le délai entre la disponibilité du produit et la fin de l'évaluation.

EN REPONSE A VOS BESOINS

Nous pouvons intervenir auprès de vos équipes pour :

une présentation des critères d'évaluation et de leurs enjeux. Cette présentation est destinée à un public de décideurs ;
une formation dont l'objectif est de donner aux membres de l'équipe de développement une vision commune des ITSEC ainsi que des conseils pour contourner les difficultés fréquemment rencontrées au cours d'une évaluation. Cette formation est illustrée par des exemples concrets ;
une étude de faisabilité afin d'estimer les travaux et permettre l'élaboration d'un dossier d'évaluation. La cible de sécurité est analysée, le référentiel qualité pour le développement est confronté aux exigences des critères, une liste des fournitures à évaluer est construite ;
une évaluation d'un produit (environnement d'exploitation supposé) ou d'un système (environnement d'exploitation connu), d'un module logiciel jusqu'à un grand système composé de plusieurs équipements, du niveau E1 jusqu'au niveau E6, en parallèle au développement ou de manière consécutive, dans le cadre du schéma français d'évaluation et de certification ;
un programme de maintenance dont l'objectif est de conserver l'acquis d'une évaluation pour les nouvelles versions du même produit ou même pour d'autres produits développés dans le même environnement ;
du conseil sur la prise en compte de la sécurité dans le développement ou de l'expertise s'appuyant sur des techniques de sécurité bien maîtrisées.

PARMI NOS REALISATIONS

Firewall	Evaluation ITSEC au niveau E4 d'un firewall bâti autour de paniers de filtrage VME et d'une station de supervision.
Système de communication	Evaluation ITSEC du produit de téléphonie numérique sécurisé RANCH ( Régie d'Abonné Numérique Chiffrante ) au niveau E3. Ce produit comprend deux types de terminaux chiffrants et des serveurs assurant leur supervision, l'authentification des interlocuteurs et la distribution des clés.
Logiciel PC	Evaluation ITSEC d'un produit commercial au niveau E2.
Lecteur de cartes	Evaluation ITSEC d'un lecteur de cartes intelligent (logiciel et matériel).
Application militaire	Participation à l'évaluation ITSEC pilote d'un logiciel de confiance militaire, au niveau E4.
Carte à microprocesseur	Evaluation du masque de programme d'une carte à microprocesseur.
Système d'exploitation	Evaluation du système UNIX HARRIS : solution UNIX sécurisée comportant matériel, logiciel de base (ATT System V - interface Berkeley) et logiciel réseau. Les principales caractéristiques de l'évaluation sont : - évaluation consécutive, - niveau visé E3, - classe de fonctionnalité F-B1. Ce système a été évalué avec succès aux Etats Unis selon les critères américains TCSEC au niveau B1. Ses principales fonctions sont donc : - contrôles d'accès par mandat et discrétionnaire, - identification et authentification des utilisateurs, - audit des actions effectuées sur le système, - effacement des objets avant leur réutilisation.
Base de données	Evaluation d'ORACLE V7 sécurisé : - comparaison des fonctions et des performances d'ORACLE V7 et d'ORACLE V7 sécurisé (associé au système SUN-CMW). - analyse de la documentation d'évaluation d'ORACLE V7 sécurisé. Une analyse indépendante des fournitures a été réalisée. Les résultats obtenus ont été confrontés aux rapports issus de l'évaluation menée en Angleterre au niveau E3.
AGL	Analyse sécurité de l'atelier de génie logiciel Entreprise II en vue de son évaluation : - comparaison de la fonctionnalité de l'atelier existant par rapport aux exigences de la classe de fonctionnalité F-SEE-2 ; définition de fonctions et mécanismes de sécurité. - confrontation de la documentation actuelle de l'atelier aux exigences du niveau d'évaluation E2 des ITSEC. - pré-analyse d'efficacité en vue d'identifier des vulnérabilités.
Systèmes de communication	Préparation à l'évaluation d'un produit de téléphonie sécurisé : - revue de la cible de sécurité, - analyse du référentiel qualité développeur, - présentation d'une démarche pour les analyses d'efficacité. Préparation à l'évaluation d'une extension d'un système de traitement de messages à un environnement bureautique.
Profil de protection	Evaluation selon les critères communs du profil de protection d'un firewall.
Formations	Formation aux critères d'évaluation sur une ou deux journées : Thomson, Gemplus, Schlumberger, Supélec, Centre d'Instruction à la Sécurité des Industriels de l'Armement (CISIA).

_{Pour cause de confidentialité, certaines références ne sont pas détaillées.}

POUR EN SAVOIR PLUS

_{Contact commercial : Roland PETIT}
_{Contact technique : Christian DAMOUR}
_{Adresse électronique :}