Comme vous le savez ou pas la « Direction Centrale de la Sécurité des Systèmes d'Information » (organisme d’État pour la sécurité des systèmes d'information), vient de nous attribuer une certification « Critères Communs ISO 15408» de niveau EAL 2+ sur notre offre EQUANT IPVPN.
Equant IPVPN est un service de mise en réseau de sites et d'utilisateurs à travers un réseau privé virtuel sécurisé basé sur la technologie IP VPN MPLS (Internet Protocol Virtual Private Network Multi-Protocol Label Switching). L'offre permet d'échanger des flux de données, de voix ou de vidéo.
Cette certification montre que nos choix organisationnel et technique assurent au service EQUANT IPVPN un niveau de sécurité satisfaisant.
Cette démarche/volonté de certification permettra d’augmenter (du moins je le suppose) le niveau de confiance de nos clients sur ce service.
C’est aussi un travail de long allène qui a monopolisé des ressources et je félicite tous ceux qui ont contribué activement à la réussite de ce projet, NIS en autre J
De manière rapide c’est quoi cette certification. La norme ISO 15408 : Common Criteria for Information Technology Evaluation, dite Critères Communs, est une norme qui définit les moyens de spécifier, développer et d’évaluer la sécurité de produits et de systèmes informatiques.
Son but est de vérifier l’efficacité des mesures de sécurité déployé sur le système à évaluer par rapport à un ensemble d’exigences (fonctionnel et d’assurance) exprimé par la norme.
Le développeur du système rédige une cible de sécurité et un ensemble de fourniture (ADV, AGD, ALC, ATE si quelqu’un veut des précisions il m’envoie un mail J) que l’évaluateur va analyser.
Une fois l’ensemble des documents écrit la phase active d’évaluation démarre.
· Dans un premier temps le laboratoire d’évaluation va analyser l’ensemble des documents et vérifier leurs conformités par rapport aux exigences de sécurité.
· Ensuite un audit sur site permet de contrôler l’existence réelle « des mesures » de sécurité (ce n’est pas le tout d’écrire de la doc il faut aussi prouver que tout est correctement mis en œuvre sur le terrain).
· Enfin des tests de vérification du comportement des fonctions de sécurité et d’intrusion sont réalisés in vivo sur le système.
Pour les « contraintes, pièges, limitation» de la norme attendez demain L
PS : Nous avions déjà obtenu cette certification en 2002 de niveau EAL1+, est nous avons décidé, en regard des exigences de nos clients, d’actualiser cette démarche.
_