Sommaire des news

Projet de décret relatif à l'évaluation et la certification de la sécurité offerte par les produits et systèmes des technologies de l'information.
Vendredi, 19 Avril 2002, par Sofian AZZABI

Subject : une

Résumé :
Le ministre délégué à l'industrie, aux petites et moyennes entreprises, au commerce, à l'artisanat et à la consommation a présenté en Conseil des ministres du 17 avril 2002 un décret relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information.

Corps de l'article :
  France : Projet de décret relatif à l'évaluation et la certification de la sécurité offerte par les produits et systèmes des technologies de l'information. Le ministre délégué à l'industrie, aux petites et moyennes entreprises, au commerce, à l'artisanat et à la consommation a présenté en Conseil des ministres du 17 avril 2002 un décret relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information. Ce décret complète les mesures de renforcement de la sécurité des systèmes d'information définies dans le programme d'action gouvernemental pour la société de l'information, en instituant une procédure volontaire de certification de la sécurité des produits et des systèmes des technologies de l'information. L'évaluation permet d'apprécier la sécurité réellement offerte par un produit ou un système. Elle s'appuie sur des critères reconnus internationalement, les critères d'évaluation européens ITSEC et les critères communs (norme ISO 15408). Dès 1993, dans un souci d'harmonisation, l'Europe et l'Amérique du nord ont en effet mis en commun leur expérience pour définir sur la base des critères existants de nouveaux critères d'évaluation de la sécurité des systèmes d'information, baptisés critères communs. Les critères communs, devenus en mai 1999 norme internationale (ISO15408) introduisent une panoplie de composants de sécurité qui représentent l'état de l'art en matière de spécification et d'évaluation des exigences de sécurité. Recensés dans deux catalogues distincts, ces composants se déclinent en mesures fonctionnelles (ce qu'un produit doit faire) et en mesures d'assurance (les vérifications effectuées au cours de l'évaluation). La nature des vérifications détermine une échelle d'assurance appelée EAL (Evaluation Assurance Level), graduée de manière croissante de EAL1 à EAL7, qui traduit la confiance de l'évaluateur dans la sécurité du produit. Cette certification s'appuie donc d'une part sur un centre d'évaluation agréé. Ce centre d'évaluation a un rôle essentiellement technique : il procède à un examen approfondi et impartial du produit ou système à évaluer pour déterminer dans quelle mesure ce dernier satisfait à ses spécifications de sécurité et pour rechercher les éventuelles vulnérabilités. Elle s'appuie d'autre part, sur la Direction centrale de la sécurité des systèmes d'information (DCSSI) du Secrétariat général de la défense nationale (SGDN), qui propose au Premier ministre, au vu de ces résultats, la certification ou non des produits ou systèmes concernés. Cette procédure sera en particulier mise en œuvre pour évaluer les procédés de création de signatures électroniques sécurisées, conformément à la loi du 13 mars 2000 sur la signature électronique et à la directive communautaire du 13 décembre 1999.  

Pour en savoir plus :  

La loi du 13 mars 2000 sur la signature électronique.  

La directive communautaire du 13 décembre 1999.  

Direction centrale de la sécurité des systèmes d'information (DCSSI).  

Le secrétariat général de la défense nationale (SGDN).  

   
0KB (0 bytes)

Commenter