1. Valoriser l’offre produit à travers l’expertise, l’évaluation et la certification

De nombreux risques pèsent sur les systèmes d’information des entreprises. Certains de ces risques proviennent des vulnérabilités liées aux produits des technologies de l’information mis en œuvre. Les responsables du système d’information sont donc en position d’exiger une certaine assurance sur le niveau de sécurité d’un produit avant son utilisation dans un environnement donné. Les développeurs de produits peuvent également anticiper et valoriser leur offre en apportant la preuve de l’efficacité des mécanismes de sécurité de leurs produits. Le centre d’évaluation de Sogeti/ESEC propose une offre permettant de répondre à ces besoins :

L’offre d’expertise : obtenir un avis d’expert sur un mécanisme, sur un produit, ou l’exploitabilité d’une vulnérabilité particulière, indépendamment du contexte d’emploi. L’offre d’évaluation : obtenir une assurance sur le niveau de sécurité d’un produit dans un contexte d’emploi défini. Cette approche est mise en œuvre dans un cadre rationnel, qui se construit autours des notions suivantes : environnement supposé d’utilisation, biens à protéger, menaces et fonctions de sécurité. L’évaluation peut se valoriser par une certification sécurité de premier niveau (CSPN) délivrée par la DCSSI, service du Premier ministre, sur la base des résultats de l’évaluation (pour en savoir plus sur la CSPN : http://www.ssi.gouv.fr/fr/confiance/cspn-pres.html).

Le centre d’évaluation SOGETI/ESEC est constitué du laboratoire de R&D et de consultants expérimentés. Il est autorisé à réaliser des évaluations dans le cadre de la CSPN en vue de leurs certifications par la DCSSI.

2. Fournir une assistance méthodologique et un accompagnement à l’évaluation

Le centre d’évaluation de Sogeti/ESEC propose également une assistance et un accompagnement à l’évaluation menée dans le cadre des Critères Communs. Il dispose de consultants rompus aux méthodologies d’évaluation en général, et aux Critères Communs en particulier, et qui sont à même d’accompagner les développeurs dans la préparation et le pilotage de l’évaluation en vue d’une certification Critères Communs par la DCSSI.

Agrément CSPN

Le centre d’évaluation de Sogeti/ESEC est autorisé par la DCSSI à réaliser des évaluations dans le cadre de la certification de sécurité de premier niveau (CSPN) pour les types de produits suivants :

• Détection d'intrusion,
• Anti-virus, protection contre les codes malicieux,
• Pare-feu,
• Administration et supervision de la sécurité,
• Identification, authentification et contrôle d’accès,
• Communication sécurisée,
• Messagerie sécurisée,
• Stockage sécurisé.

ainsi que sur les compétences techniques suivantes :

• Système d’exploitation,
• Réseaux,
• Cryptographie,
• Autre (Rétro-ingénierie, audits, analyse de code, forensics, codes malicieux).

Exemples d'évaluations déjà réalisées :

• Evaluation d'une solution d'authentification forte par carte à puce ; produit de type "identification, authentification et contrôle d'accès". Cette évaluation n'a pas donnée lieu à certification.
• Evaluation du produit TrueCrypt [Site] ; produit de type "stockage sécurisé". Les détails de l'évaluation sont disponibles sur le blog [Blog].
Documents disponibles :
• cible de sécurité [PDF] ;
• rapport technique d'évaluation [PDF]* ;
• spécifications crypto [PDF] ;
• rapport de certification [PDF].

*publication après autorisation par la DCSSI, commanditaire de l'évaluation.