Critères communs - Définition

Introduction

Common Criteria (CC) est un standard international (ISO/CEI 15408) pour la sécurité des systèmes d'information. Le nom complet du standard est Common Criteria for Information Technology Security Evaluation. En français, on emploie souvent l'expression Critères communs.

Description

Les critères communs sont disponibles :

• en anglais : en version 3.1 de septembre 2006 (ainsi qu'en versions 2.1, 2.2, et 2.3)
• en français : en version 2.1 d'août 1999

Il existe aussi une version 3.0 mais elle n'a quasiment pas été utilisée.

Accès à la documentation sur le site de l'ANSSI : Critères et méthodologie d'évaluation

Voir résumé sur le site de l'ANSSI : Références SSI

Partie 1 : introduction et modèle général

Cette partie décrit l'organisation générale de la norme et contient un glossaire pour les termes spécifiques.

Voir détails sur le site de l'ANSSI : Introduction et modèle général (version 2.1 en français, 76 pages)

Partie 2 : exigences fonctionnelles de sécurité

Cette partie est un catalogue de fonctionnalités dont l'objectif est de fournir un langage structuré pour exprimer ce que doit faire un produit de sécurité.

Voir détails sur le site de l'ANSSI : Exigences fonctionnelles de sécurité (version 2.1 en français, 394 pages)

Il existe 11 rubriques :

1. Audit de sécurité (FAU)
2. Communication (FCO)
3. Utilisation de la cryptographie (FCS)
4. Protection des données de l'utilisateur (FDP)
5. Identification et authentification (FIA)
6. Gestion de la sécurité (FMT)
7. Protection de la vie privée (FPR)
8. Protection des fonctions de sécurité de la cible d'évaluation (FPT)
9. Utilisation des ressources (FRU)
10. Accès à la cible d'évaluation (FTA)
11. Chemins et canaux de confiance (FTP)

Partie 3 : exigences d'assurance de sécurité

Cette partie est un catalogue d'exigences sur la documentation associé au produit évalué. Il s'agit principalement de

• la documentation de développement du produit (spécifications, conception, tests, etc), notamment pour les classes ADV et ATE;
• la documentation sur l'environnement de développement (ce qui est parfois appelé le «manuel qualité» de l'organisation, généralement une société commerciale), notamment pour la classe ALC
• et la documentation d'exploitation livrée avec le produit et indiquant comment l'utiliser, le configurer, etc, principalement pour la classe AGD.

Il existe 10 classes dans les versions 2.x:

1. Évaluation d'un profil de protection (classe APE)
2. Évaluation d'une cible de sécurité (classe ASE)
3. Gestion de configuration (classe ACM)
4. Livraison et exploitation (classe ADO)
5. Développement (classe ADV)
6. Guides (classe AGD)
7. Support au cycle de vie (classe ALC)
8. Tests (classe ATE)
9. Estimation des vulnérabilités (classe AVA)
10. Maintenance de l'assurance (classe AMA)

L'organisation des exigences a été améliorée en version 3.1: les classes sont un peu différentes mais les détails sont similaires.

Voir détails sur le site de l'ANSSI : Exigences d'assurance de sécurité (version 2.1 en français, 236 pages)

Méthodologie d'évaluation

Voir détails sur le site de l'ANSSI : Evaluation methodology (version 3.1 en anglais)

Systèmes concernés

Les systèmes d'exploitation ("Operating Systems").

Les dispositifs dédiés aux communications :

• Gestionnaires de réseaux,
• Routeurs, commutateurs réseau ("switchs"), hubs,
• Les réseaux privés virtuels (VPN).

Les systèmes consacrés à la sécurité informatique

• Les systèmes d'accès (accès internet,...)
• Les systèmes d'authentification, infrastructure à clés publiques (PKI)/KMI
• Les pare-feu
• Les systèmes de détection d'intrusion (IDS)
• Les logiciels anti-virus
• Les contrôles biométriques.

Les cartes à puces

Historiquement, le type de produit privilégié par les Critères et ses ancêtres est les systèmes d'exploitation centralisés. Aujourd'hui (en 2007-2008), le type de produit le plus souvent évalué est la carte à puce.