Que signifient les Critères communs pour l’évaluation de la sécurité des technologies de l’information ?
Les Critères communs pour l'évaluation de la sécurité des technologies de l'information (CC) sont une norme internationale basée sur les évaluations de produits et de systèmes de sécurité informatique. CC fournit des conseils sur les fonctionnalités et l’assurance requises pour les produits liés à la sécurité et d’autres éléments dans un environnement spécifique. Les évaluations CC sont menées pour les consommateurs de produits, les utilisateurs, les développeurs de technologies et les évaluateurs.
CC est également connu sous le nom d'ISO/IEC 15408.
Weendoz explique les critères communs pour l'évaluation de la sécurité des technologies de l'information
Une évaluation CC est effectuée sur une cible d'évaluation (TOE), comprenant du matériel, un micrologiciel et un logiciel séparés ou combinés. Il ne s'agit pas toujours d'un produit informatique complet, mais une TOE peut être un élément nouvellement développé ou un package consolidé et configuré comme suit :
- Application logicielle uniquement
- Système d'exploitation uniquement
- Application logicielle et système d'exploitation
- Application logicielle, système d'exploitation et poste de travail
- Système d'exploitation et poste de travail
- Circuit intégré de carte à puce uniquement
- Coprocesseur cryptographique uniquement (un composant de circuit intégré de carte à puce)
- Réseau local (LAN), comprenant les terminaux, les équipements réseau, les logiciels et les serveurs
- Application de base de données uniquement (sans logiciel client distant)
Une TOE peut prendre la forme d'une liste de fichiers du système de gestion de configuration, d'une copie principale, d'un CD-ROM/manuel d'utilisation client emballé ou d'un état précédemment installé et opérationnel.
Un CC comporte trois éléments :
- Modèle général CC/TOE et introduction : fournit un aperçu de base de l'évaluation de la TOE.
- Section des composants de fonction de sécurité : concerne les exigences courantes en matière de sécurité des produits informatiques et des technologies.
- Section des composants d'assurance de sécurité : concerne les exigences courantes en matière d'assurance technologique et de produits informatiques.