[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/wiki.edu.vn\/all2fr\/wiki1\/criteres-communs-pour-levaluation-de-la-securite-des-technologies-de-linformation-wikipedia\/#BlogPosting","mainEntityOfPage":"https:\/\/wiki.edu.vn\/all2fr\/wiki1\/criteres-communs-pour-levaluation-de-la-securite-des-technologies-de-linformation-wikipedia\/","headline":"Crit\u00e8res communs pour l’\u00e9valuation de la s\u00e9curit\u00e9 des technologies de l’information – Wikipedia","name":"Crit\u00e8res communs pour l’\u00e9valuation de la s\u00e9curit\u00e9 des technologies de l’information – Wikipedia","description":"before-content-x4 Le Crit\u00e8res communs pour l’\u00e9valuation de la s\u00e9curit\u00e9 des technologies de l’information (Bref aussi Crit\u00e8res communs ou CC ;","datePublished":"2020-08-11","dateModified":"2020-08-11","author":{"@type":"Person","@id":"https:\/\/wiki.edu.vn\/all2fr\/wiki1\/author\/lordneo\/#Person","name":"lordneo","url":"https:\/\/wiki.edu.vn\/all2fr\/wiki1\/author\/lordneo\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/44a4cee54c4c053e967fe3e7d054edd4?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/44a4cee54c4c053e967fe3e7d054edd4?s=96&d=mm&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"Enzyklop\u00e4die","logo":{"@type":"ImageObject","@id":"https:\/\/wiki.edu.vn\/wiki4\/wp-content\/uploads\/2023\/08\/download.jpg","url":"https:\/\/wiki.edu.vn\/wiki4\/wp-content\/uploads\/2023\/08\/download.jpg","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/upload.wikimedia.org\/wikipedia\/commons\/thumb\/4\/4a\/Pictogram_voting_info.svg\/15px-Pictogram_voting_info.svg.png","url":"https:\/\/upload.wikimedia.org\/wikipedia\/commons\/thumb\/4\/4a\/Pictogram_voting_info.svg\/15px-Pictogram_voting_info.svg.png","height":"15","width":"15"},"url":"https:\/\/wiki.edu.vn\/all2fr\/wiki1\/criteres-communs-pour-levaluation-de-la-securite-des-technologies-de-linformation-wikipedia\/","wordCount":3396,"articleBody":"     (adsbygoogle = window.adsbygoogle || []).push({});before-content-x4Le Crit\u00e8res communs pour l’\u00e9valuation de la s\u00e9curit\u00e9 des technologies de l’information (Bref aussi Crit\u00e8res communs ou CC ; en allemand: Crit\u00e8res g\u00e9n\u00e9raux pour \u00e9valuer la s\u00e9curit\u00e9 des technologies de l’information ) sont une norme internationale pour v\u00e9rifier et \u00e9valuer les propri\u00e9t\u00e9s de s\u00e9curit\u00e9 des produits informatiques.        (adsbygoogle = window.adsbygoogle || []).push({});after-content-x4Cela a commenc\u00e9 en juin 1993 Comit\u00e9 de r\u00e9daction des crit\u00e8res communs (CCEB) avec des membres du Canada, de la France, de l’Allemagne, de la Grande-Bretagne et des \u00c9tats-Unis avec le d\u00e9veloppement des crit\u00e8res communs. De plus, le CCEB a \u00e9galis\u00e9 les normes pr\u00e9c\u00e9dentes CTCPEC (Canadien), ITSEC (europ\u00e9enne) et TCSEC (am\u00e9ricain). Une base conjointement reconnue pour les examens de la s\u00e9curit\u00e9 des donn\u00e9es a \u00e9t\u00e9 cr\u00e9\u00e9e. Cela devrait \u00e9viter que les composants ou les syst\u00e8mes de diff\u00e9rents pays soient \u00e9valu\u00e9s et certifi\u00e9s \u00e0 plusieurs reprises. La premi\u00e8re version (1.0) a \u00e9t\u00e9 publi\u00e9e en janvier 1996. La version 2.0 a suivi apr\u00e8s une longue phase de r\u00e9vision par le nouvellement fond\u00e9 Conseil d’impl\u00e9mentation CC (CCIB) En mai 1998. Depuis cette version, les sponsors du projet SOP ont \u00e9galement \u00e9t\u00e9 les Pays-Bas en plus des \u00c9tats mentionn\u00e9s pr\u00e9c\u00e9demment. ISO \/ IEC-standard [ Modifier | Modifier le texte source ]] Depuis 1994 Organisation internationale de normalisation (ISO) ainsi que le CCEB ou le successeur CCIB, essayant de d\u00e9velopper une norme internationale. En adoptant la norme ISO \/ IEC 15408 le 1er d\u00e9cembre 1999 dans plusieurs sous-documents [d’abord] Les crit\u00e8res communs sont une norme g\u00e9n\u00e9rale et globalement reconnue. [2] [3] La norme est soumise \u00e0 la proc\u00e9dure de changement habituelle de l’ISO. La version 2.3 a suivi en 2005 et une version \u00e0 3,1 en septembre 2006. Depuis lors, les nouveaux sponsors du projet sont l’Australie, la Nouvelle-Z\u00e9lande, le Japon et l’Espagne. [4] La quatri\u00e8me r\u00e9vision des crit\u00e8res communs 3.1 a \u00e9t\u00e9 publi\u00e9e en septembre 2012, suivie de la r\u00e9vision 5 en avril 2017.  Zone s\u00e9curit\u00e9 informatique titre Crit\u00e8res de proc\u00e9dure de s\u00e9curit\u00e9 des technologies de l’information – Crit\u00e8res d’\u00e9valuation pour la s\u00e9curit\u00e9 informatique Pour vous 3 Derni\u00e8re \u00e9dition Partie 1 et 2: 2020-12 Normes nationales EN ISO \/ IEC 15408 Votre EN ISO \/ IEC 15408, \u00d6ve \/ \u00d6norm en ISO \/ IEC 15408, Sn en ISO \/ IEC 15408 Les crit\u00e8res communs diff\u00e9rencient la fonctionnalit\u00e9 (fonctionnalit\u00e9) du syst\u00e8me consid\u00e9r\u00e9 et la fiabilit\u00e9 (qualit\u00e9). La distinction entre la fonctionnalit\u00e9 d’un syst\u00e8me d’une part et la confiance qui peut r\u00e9sulter d’un examen dans cette fonctionnalit\u00e9 est l’un des paradigmes essentiels des crit\u00e8res communs. La fiabilit\u00e9 est consid\u00e9r\u00e9e du point de vue de l’efficacit\u00e9 des m\u00e9thodes utilis\u00e9es et de l’exactitude de la mise en \u0153uvre. La proc\u00e9dure peut \u00eatre comprise comme un mod\u00e8le de cascade encastr\u00e9.        (adsbygoogle = window.adsbygoogle || []).push({});after-content-x4Id\u00e9alement, une vue de s\u00e9curit\u00e9 ind\u00e9pendante des produits finis est r\u00e9alis\u00e9e en premier, ce qui conduit \u00e0 la cr\u00e9ation d’un profil de protection g\u00e9n\u00e9ral. \u00c0 partir de ce catalogue de s\u00e9curit\u00e9, les exigences de s\u00e9curit\u00e9 peuvent ensuite \u00eatre d\u00e9velopp\u00e9es pour certains produits, contre lesquels l’\u00e9valuation est ensuite effectu\u00e9e conform\u00e9ment \u00e0 CC. La fiabilit\u00e9 requise, le Profondeur de test , en g\u00e9n\u00e9ral selon EAL (niveau d’assurance d’\u00e9valuation, voir ci-dessous). Une indication de la profondeur de test sans exigences de s\u00e9curit\u00e9 fonctionnelle sous-jacentes est inutile. Surtout, la d\u00e9nomination des niveaux EAL sans plus amples informations a pr\u00e9valu, ce qui entra\u00eene souvent des irritations et des d\u00e9bats houleux. En d\u00e9cembre 1999, les crit\u00e8res communs ont \u00e9t\u00e9 d\u00e9clar\u00e9s ISO \/ IEC international standard 15408. La part allemande de ce travail est, entre autres. Supervis\u00e9 par DIN NIA-01-27 Proc\u00e9dure de s\u00e9curit\u00e9 informatique. Le CC comprend trois parties: Partie 1: Introduction et mod\u00e8le g\u00e9n\u00e9ral \/ introduction et mod\u00e8le g\u00e9n\u00e9ral Partie 2: Exigences de s\u00e9curit\u00e9 fonctionnelles \/ exigences fonctionnelles Partie 3: Exigences pour les exigences de fiabilit\u00e9 \/ d’assurance En Allemagne, les pi\u00e8ces standard sont publi\u00e9es sous forme de normes DIN DIN ISO \/ IEC 15408-1\u2026 3.        (adsbygoogle = window.adsbygoogle || []).push({});after-content-x4Les crit\u00e8res communs sont bas\u00e9s sur un principe \u00e0 quatre yeux lors de la v\u00e9rification des propri\u00e9t\u00e9s de s\u00e9curit\u00e9 d’un produit.Le produit doit d’abord \u00eatre \u00e9valu\u00e9 par un centre de test accr\u00e9dit\u00e9 et peut ensuite \u00eatre certifi\u00e9 dans un organisme de certification (en Allemagne, il s’agit du Bureau f\u00e9d\u00e9ral pour les technologies de l’information (BSI)). La certification selon les crit\u00e8res communs est international selon les CCRA \u00e0 EAL2 et SOGIS-MRA \u00e0 EAL 4 (voir ci-dessous). Les EAL plus \u00e9lev\u00e9s n’ont pas \u00e0 \u00eatre reconnus \u00e0 l’\u00e9chelle internationale, mais ont peu d’importance pratique dans l’\u00e9conomie priv\u00e9e en raison de son \u00e9norme complexit\u00e9. En Europe, les certifications jusqu’\u00e0 EAL 7 peuvent \u00eatre reconnues dans le cadre de \u00abl’accord de Sogis\u00bb et dans certains domaines techniques. Le paradigme fondamental des crit\u00e8res communs est la s\u00e9paration de la consid\u00e9ration de la fonctionnalit\u00e9 et de la fiabilit\u00e9. En principe, les crit\u00e8res ne donnent pas une exigence selon laquelle une certaine fonctionnalit\u00e9 doit \u00eatre mise en \u0153uvre ou qu’elle doit \u00eatre v\u00e9rifi\u00e9e avec une certaine fiabilit\u00e9. Au d\u00e9but de l’\u00e9valuation, les deux aspects sont d\u00e9finis par le fabricant du produit dans un document, la \u00abcible de s\u00e9curit\u00e9\u00bb. Cours de fonctionnalit\u00e9 [ Modifier | Modifier le texte source ]] La partie II des crit\u00e8res communs contient un certain nombre d ‘\u00abexigences fonctionnelles de s\u00e9curit\u00e9\u00bb (SFR). \u00c0 l’aide de ces \u00e9l\u00e9ments de construction semi-formaux, la fonctionnalit\u00e9 de s\u00e9curit\u00e9 d’un produit \u00e0 tester est d\u00e9crite.Contrairement \u00e0 d’autres normes, les classes de fonctionnalit\u00e9 ne sont pas divis\u00e9es hi\u00e9rarchiquement. Au lieu de cela, chaque classe d\u00e9crit une certaine fonction de base de l’architecture de s\u00e9curit\u00e9, qui doit \u00eatre \u00e9valu\u00e9e s\u00e9par\u00e9ment. Les classes de fonctionnalit\u00e9s importantes sont: En principe, la s\u00e9lection de la fonctionnalit\u00e9 qu’un syst\u00e8me \u00e0 tester est responsable du fabricant. Il incombe au domaine de la responsabilit\u00e9 de coordonner cette fonctionnalit\u00e9 avec les autres parties impliqu\u00e9es – en particulier le client. Dans le cadre d’une \u00e9valuation selon des crit\u00e8res communs, seules les fonctions que le fabricant a mod\u00e9lis\u00e9es dans sa \u00abcible de s\u00e9curit\u00e9\u00bb est v\u00e9rifi\u00e9e. Lors du choix du SFR de la partie II des crit\u00e8res communs, certaines conditions de cadre doivent \u00eatre observ\u00e9es. La partie II du CC maintient \u00e9galement les d\u00e9pendances entre les SFR, qui doivent \u00eatre observ\u00e9es dans la s\u00e9lection. Si z. B. Un SFR utilis\u00e9 pour d\u00e9crire la politique de contr\u00f4le d’acc\u00e8s pour les donn\u00e9es, stipule la d\u00e9pendance que les SFR doivent \u00e9galement \u00eatre utilis\u00e9es pour authentifier les utilisateurs. Les collections SFRS sont r\u00e9sum\u00e9es en profils de protection qui d\u00e9crivent la gamme typique des fonctions de certains produits (par exemple, pare-feu, cartes \u00e0 puce, etc.). Ces profils de protection sont traditionnellement \u00e9crits par des associations de fabricants ou de grands clients afin d’exprimer leurs exigences pour une certaine classe de produits. fiabilit\u00e9 [ Modifier | Modifier le texte source ]] Les crit\u00e8res communs d\u00e9finissent sept niveaux de fiabilit\u00e9 (niveau d’assurance d’\u00e9valuation, EAL1-7), qui mettent correctement en \u0153uvre le syst\u00e8me compris Profondeur de test d\u00e9crire. Avec un niveau croissant de fiabilit\u00e9, les exigences de la profondeur dans laquelle le fabricant doit d\u00e9crire son produit et avec lequel le produit est v\u00e9rifi\u00e9. Le tableau suivant donne un aper\u00e7u du Niveaux d’assurance d’\u00e9valuation Et les compare \u00e9galement aux profondeurs de test dans d’autres crit\u00e8res. Cc eal Signification Itsec e Bsi son q Tcsec Eal1 test\u00e9 fonctionnellement E0-E1 Q0-Q1 D-C1 Eal2 test\u00e9 structurellement E1 Q1 C1 Eal3 Test\u00e9 et v\u00e9rifi\u00e9 m\u00e9thodiquement E2 Q2 C2 Eal4 d\u00e9velopp\u00e9, test\u00e9 et visualis\u00e9s m\u00e9thodiquement E3 Q3 B1 Eal5 Semi-sixion con\u00e7u et test\u00e9 E4 Q4 B2 EA6 Conception v\u00e9rifi\u00e9e en semiforment et test\u00e9 E5 Q5 B3 Eal7 conception formellement v\u00e9rifi\u00e9e et test\u00e9 E6 Q6 UN En plus des crit\u00e8res communs, une m\u00e9thodologie de certification a \u00e9t\u00e9 d\u00e9velopp\u00e9e par les organismes et les institutions impliqu\u00e9es, ce qui devrait rendre les r\u00e9sultats des certifications compr\u00e9hensibles et comparables. Actuellement (\u00e0 partir de 2007), ils sont ex\u00e9cut\u00e9s pour les parties 1 et 2 et se sont construits de mani\u00e8re analogue \u00e0 EAL 1\u20134. Les crit\u00e8res communs sont bas\u00e9s sur une approche tr\u00e8s formelle requise pour la reconnaissance internationale des certificats comme base. Cela conduit \u00e0 des critiques fr\u00e9quentes selon lesquelles trop de papier et trop peu de produits sont v\u00e9rifi\u00e9s aux examens apr\u00e8s des crit\u00e8res communs. L’\u00e9valuation selon CC est g\u00e9n\u00e9ralement assez complexe et prend un certain temps. Cela conduit trop souvent \u00e0 la critique de l’utilisation de ces crit\u00e8res. En 2017, le point faible de Roca a \u00e9t\u00e9 trouv\u00e9 dans une liste de produits de cartes \u00e0 puce certifi\u00e9s selon les crit\u00e8res communs. Le point faible a rendu plusieurs d\u00e9fauts dans le syst\u00e8me de certification des crit\u00e8res communs: [5] Le point faible \u00e9tait dans un algorithme de g\u00e9n\u00e9ration de cl\u00e9s RSA auto-d\u00e9velopp\u00e9, qui n’a pas pu \u00eatre publi\u00e9 et analys\u00e9 par la communaut\u00e9 de la cryptoanalyse. Cependant, le centre d’essai T\u00fcv InformationStechnik GmbH (T\u00fcvit), reconnu en Allemagne, a approuv\u00e9 son utilisation et l’organisme allemand de certification BSI a \u00e9mis des certificats de crit\u00e8res communs pour les produits sensibles. Dans les exigences de s\u00e9curit\u00e9 du produit \u00e9valu\u00e9, il a \u00e9t\u00e9 affirm\u00e9 que les cl\u00e9s RSA sont g\u00e9n\u00e9r\u00e9es en fonction de l’algorithme standard. En r\u00e9ponse \u00e0 ce point faible, le BSI pr\u00e9voit maintenant d’am\u00e9liorer la transparence en demandant que le rapport de certification sp\u00e9cifie au moins si la cryptographie propri\u00e9taire mise en \u0153uvre ne correspond pas \u00e0 une norme recommand\u00e9e. Le BSI ne pr\u00e9voit pas de demander la publication de l’algorithme propri\u00e9taire sous quelque forme que ce soit. Bien que les organismes de certification savent maintenant que les r\u00e9clamations de s\u00e9curit\u00e9 sp\u00e9cifi\u00e9es dans les certificats de crit\u00e8res communs ne s’appliquent plus, ni ANSSI ni le BSI n’ont r\u00e9voqu\u00e9 les certificats correspondants. Selon BSI, un certificat ne peut \u00eatre retir\u00e9 que s’il a \u00e9t\u00e9 \u00e9mis sous de fausses exigences, par ex. B. S’il s’av\u00e8re que de fausses preuves ont \u00e9t\u00e9 pr\u00e9sent\u00e9es. Selon la question d’un certificat, il faut supposer que la validit\u00e9 du certificat diminuera au fil du temps gr\u00e2ce \u00e0 des attaques am\u00e9lior\u00e9es et nouvellement d\u00e9couvertes. Les organismes de certification peuvent publier des rapports de maintenance et m\u00eame r\u00e9aliser une nouvelle certification du produit. Cependant, ces activit\u00e9s doivent \u00eatre lanc\u00e9es et soutenues par le fabricant. Alors que plusieurs produits certifi\u00e9s par des crit\u00e8res communs ont \u00e9t\u00e9 affect\u00e9s par le point faible du ROCA, les fabricants ont r\u00e9agi diff\u00e9remment dans le cadre de la certification. Pour certains produits, un rapport de maintenance a \u00e9t\u00e9 publi\u00e9 qui indique qu’\u00e0 une dur\u00e9e de 3072 et 3584 bits a un niveau de s\u00e9curit\u00e9 d’au moins 100 bits, tandis que pour d’autres produits dans le rapport de maintenance, il n’est pas mentionn\u00e9 que le changement dans l’objet d’\u00e9valuation (EVG) affecte la fonction de s\u00e9curit\u00e9 cryptographique certifi\u00e9e, mais la conclusion n’est pas tir\u00e9e sur la s\u00e9curit\u00e9. Selon BSI, les utilisateurs des produits finaux certifi\u00e9s auraient d\u00fb \u00eatre inform\u00e9s par les fabricants du point faible de Roca. Cependant, ces informations n’ont pas atteint les autorit\u00e9s estoniennes \u00e0 temps, qui avait utilis\u00e9 le produit sensible sur plus de 750 000 cartes d’identit\u00e9 estonienne. \u2191  R\u00e9sultat de la recherche chez ISO pour ISO \/ IEC 15408  \u2191  Richard A. Kemmer: S\u00e9curit\u00e9 informatique. (PDF; 135 Ko) 2001, Consult\u00e9 le 13 juin 2013 (Anglais).   \u2191  CCIB: Crit\u00e8res communs pour l’\u00e9valuation de la s\u00e9curit\u00e9 des technologies de l’information. (PDF; 260 Ko) Partie 1: Introduction et mod\u00e8le g\u00e9n\u00e9ral. (Pas plus disponible en ligne.) Ao\u00fbt 1999, archiv\u00e9 \u00e0 partir de Original suis 19. avril 2012 ; Consult\u00e9 le 13 juin 2013 (Anglais).   Info: Le lien d’archive a \u00e9t\u00e9 utilis\u00e9 automatiquement et non encore v\u00e9rifi\u00e9. Veuillez v\u00e9rifier le lien d’origine et d’archiver en fonction des instructions, puis supprimez cette note. @d’abord @ 2 Mod\u00e8le: webachiv \/ iabot \/ www.commoncreriaportal.org   \u2191  CCIB: Crit\u00e8res communs pour l’\u00e9valuation de la s\u00e9curit\u00e9 des technologies de l’information. (PDF; 561 kb) Partie 1: Introduction et mod\u00e8le g\u00e9n\u00e9ral. (Pas plus disponible en ligne.) Septembre 2006, archiv\u00e9 \u00e0 partir de Original suis 24 d\u00e9cembre 2012 ; Consult\u00e9 le 13 juin 2013 (Anglais).   Info: Le lien d’archive a \u00e9t\u00e9 utilis\u00e9 automatiquement et non encore v\u00e9rifi\u00e9. Veuillez v\u00e9rifier le lien d’origine et d’archiver en fonction des instructions, puis supprimez cette note. @d’abord @ 2 Mod\u00e8le: webachiv \/ iabot \/ www.commoncreriaportal.org   \u2191  Arnis Parsovs, mars 2021, Carte d’identit\u00e9 \u00e9lectronique estonienne et ses d\u00e9fis de s\u00e9curit\u00e9, Universit\u00e9 de Tartu, https:\/\/dspace.ut.ee\/handle\/10062\/71481Parsovs_arnis.pdf , pages 141-143       (adsbygoogle = window.adsbygoogle || []).push({});after-content-x4"},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/wiki.edu.vn\/all2fr\/wiki1\/#breadcrumbitem","name":"Enzyklop\u00e4die"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/wiki.edu.vn\/all2fr\/wiki1\/criteres-communs-pour-levaluation-de-la-securite-des-technologies-de-linformation-wikipedia\/#breadcrumbitem","name":"Crit\u00e8res communs pour l’\u00e9valuation de la s\u00e9curit\u00e9 des technologies de l’information – Wikipedia"}}]}]