Comme vous le savez ou pas la « Direction Centrale de la Sécurité des Systèmes d'Information » (organisme d’État pour la sécurité des systèmes d'information), vient de nous attribuer une certification « Critères Communs ISO 15408» de niveau EAL2+ sur notre réseau internationnal IPVPN.
Le réseau internationnal IPVPN permet la mise en relation des sites au travers d'un réseau privé virtuel sécurisé basé sur la technologie IP VPN MPLS (Internet Protocol Virtual Private Network Multi-Protocol Label Switching). L'offre permet d'échanger des flux de données, de voix ou de vidéo.
Cette certification montre que nos choix organisationnels et techniques assurent à ce réseau internationnal un niveau de sécurité satisfaisant.
Cette démarche/volonté de certification permettra d’augmenter (du moins je le suppose) le niveau de confiance de nos clients sur ce service.
C’est aussi un travail de longue haleine qui a monopolisé des ressources et je félicite tous ceux qui ont contribué activement à la réussite de ce projet, NIS en autre J
De manière rapide ce qu'est cette certification : la norme ISO 15408 : Common Criteria for Information Technology Evaluation, dite Critères Communs, est une norme qui définit les moyens de spécifier, développer et d’évaluer la sécurité de produits et de systèmes informatiques.
Son but est de vérifier l’efficacité des mesures de sécurité déployées sur le système à évaluer par rapport à un ensemble d’exigences (fonctionnelles et d’assurance) exprimé par la norme.
Le développeur du système rédige une cible de sécurité et un ensemble de fournitures (ADV, AGD, ALC, ATE si quelqu’un veux des précisions il m’envoie un mail J) que l’évaluateur va analyser.
Une fois l’ensemble des documents écrits la phase active d’évaluation démarre.
· Dans un premier temps le laboratoire d’évaluation va analyser l’ensemble des documents et vérifier leurs conformités par rapport aux exigences de sécurité.
· Ensuite un audit sur site permet de contrôler l’existence réelle « des mesures » de sécurité (ce n’est pas le tout d’écrire de la doc il faut aussi prouver que tout est correctement mis en œuvre sur le terrain).
· Enfin des tests de vérification du comportement des fonctions de sécurité et d’intrusion sont réalisés in vivo sur le système.
PS : Nous avions déjà obtenu cette certification en 2002 de niveau EAL1+, et nous avons décidé, en regard des exigences de nos clients, d’actualiser cette démarche.
_