Service
CYBERSÉCURITÉ

Centre d'évaluation de la Sécurité des Technologies de l'Information

Les nouvelles technologies nous procurent en permanence de nouveaux moyens de traitement de l’information. Elles sont autant de valeurs stratégiques pour les entreprises, et induisent d’inévitables risques qui soulèvent une importante question : quelle confiance pouvons-nous accorder à la sécurité des systèmes ?

Le CESTI de Sogeti est un Centre d’Evaluation de la Sécurité des Technologies de l’Information accrédité par le COFRAC et agréé par l’Etat (ANSSI). Il est agréé pour produire non seulement des évaluations en vue de l’obtention de CSPN (Certificats de Premier Niveau) délivrés par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) selon le schéma français, mais également des évaluations en vue de certifications Critères Communs. Les Certificats de sécurité Critères Communs sont reconnus dans 25 pays à travers le monde, ce qui facilite la commercialisation dans les pays signataires.

Audits de pré-certification

Avant de démarrer une évaluation en vue d’une certification, le CESTI propose un audit visant à déterminer les chances de succès de la certification. Cet audit est très court et permet d’avoir une vue exacte de la maturité du processus de développement par rapport à ce qui est exigé pour une certification CSPN ou Critères Communs.

Les points qui sont abordés dans cet audit couvrent :

  • Une première vue sur le périmètre sur lequel l’évaluation doit porter,
  • L’environnement de développement,
  • La complétude de la documentation et des tests,
  • En complément, il est possible de passer quelques jours de Pentest pour déterminer si la cible d’évaluation est sensible à des vulnérabilités publiées.

Evaluations Critères Communs

Le CESTI Sogeti est agréé par l’ANSSI pour réaliser des évaluations basées sur la méthodologie Critères Communs. Cette méthodologie garantit les processus de spécification, d’implémentation et d’évaluation de la sécurité. Elle assure à l’éditeur ainsi qu’à ses clients le respect d'un niveau de sécurité attendu.

La reconnaissance en Europe d’un certificat Critères Communs est possible jusqu’au niveau EAL4+ dans le cadre SOG-IS.

Sogeti a un partenariat privilégié avec le Cesti du CEA pour réaliser des évaluations combinées sur le logiciel et le matériel.

Evaluations en vue de Certification de Premier Niveau CSPN et la Qualification pour les usages d’Etat

Une évaluation CSPN se distingue de la méthodologie Critères Communs en ce que l’évaluation porte sur deux aspects principaux :

  • S’assurer que la documentation est conforme,
  • S’assurer que le produit ne comporte pas de vulnérabilités critiques qui puissent être mises en œuvre en un temps donné (habituellement 25 jours, plus 10 jours si le produit comporte des éléments cryptographiques)

Le CESTI de Sogeti est agréé par l’ANSSI pour réaliser des évaluations en vue de CSPN depuis 2008.

Support projet pour de la Certification

Quand il démarre une évaluation Critères Communs, un développeur doit fournir tout un ensemble de documents selon le niveau d’Assurance (EAL) visé. Dans le cas d’évaluation par un CESTI tiers, le CESTI Sogeti fournit une assistance pour :

  • Recueillir les informations nécessaires auprès du développeur et les organiser selon les exigences du standard Critères Communs
  • Suivre l’évaluation et les processus de certification
  • Analyser les rapports d’évaluation afin d’améliorer les développements et les produits.

Définition de cibles de sécurité et de spécifications de sécurité

Une évaluation CSPN ou Critères Communs porte sur une cible de sécurité qui définit le périmètre d’analyse. Le CESTI de Sogeti comporte suffisamment d’experts et d’évaluateurs pour que ce ne soient pas les mêmes personnes qui définissent les cibles de sécurité et qui réalisent les évaluations.

todo todo
CONTACT
  • yves le floch
    Yves Le Floch
    Global Head of Cybersecurity Business Development
    +33 6 79 16 82 81
Cybersécurité