|
| | | |
 |
| La certification,
une procédure qui vous veut du bien |
| La certification
peut constituer un facteur de différenciation non négligeable pour les éditeurs
de solutions de sécurité. Encore faut-il que la démarche ne soit pas un simple argument marketing.
(28/07/2006)
|
| Après
avoir usé de tous les stratagèmes marketing possibles, quels autres
moyens les éditeurs de sécurité peuvent bien mettre en œuvre
pour se démarquer de leurs concurrents ? Réponse : en procédant
à la certification de leur solution par un organisme indépendant,
bien sûr !
Et de ce point de vue, ce ne sont pas les organismes de
certification qui manquent, avec notamment, dans le domaine de la sécurité,
Virus Bulletin, Check Mark (West Coast Labs), ICSA (Cybertrust), mais également
Critères Communs (Common Criteria),
conforme à la norme ISO 15408.
Loin de constituer
pourtant un simple argument commercial, la certification Critères Communs
va en effet dans le sens d'une amélioration constante de la qualité logicielle
d'une solution et de son environnement de développement. Elle consiste pour cela
en l'audit de 11 classes fonctionnelles d'une solution (support cryptographique,
gestion des fonctions de sécurité, utilisation des ressources...), passées
au crible de 130 critères de composants.
"La certification Critères
Communs prend en compte les aspects directement liés au niveau de résistance du
produit dont la vérification par des tests intrusifs, ainsi que la sécurité du
développement ou encore la qualité de la documentation, et c'est en cela que la
certification impose une démarche de développement plus rigoureuse", fait
savoir Eric Dehais, directeur au sein d'Oppida, cabinet de conseil et d'expertise
en sécurité informatique et CESTI français
| La
démarche de certification est motivée par le gain
de la confiance client |
En France, la certification
Critères Communs est délivrée sous le contrôle unique
de la DCSSI (Direction Centrale de la Sécurité des
Systèmes d'Information), par l'intermédiaire de l'un des six CESTI (Centre
d'Evaluation de la Sécurité des Technologies de l'Information), seuls organismes
habilités à délivrer les certificats EAL (Evaluation Assurance
Level).
"La certification Critères Communs est composée
de 7 niveaux EAL dont le plus faible est EAL1, correspondant plus à une recette
fonctionnelle du produit de sécurité candidat à la certification,
tandis qu'EAL7 implique l'utilisation de méthodes formelles pour développer le
produit", fait savoir Eric Dehais.
La démarche de certification
est d'abord enclenchée par l'éditeur ou fournisseur d'une solution
(pas nécessairement de sécurité), et motivée principalement
par deux raisons : la volonté de gagner la confiance de ses clients actuels,
et user de la certification comme d'un argument supplémentaire de crédibilité
afin de séduire de nouveaux prospects.
Et à ce petit jeu,
force est de constater que les éditeurs de solutions de sécurité
réseaux - mais aussi anti-virus (ceux disposant tout du moins de fonctions
de vérification d'intégrité) -, se lancent petit à
petit dans la brèche ouverte par Arkoon (dès novembre 2004) et Netasq
(en juin 2005).
"Même si les critères Communs ciblent originellement
les éditeurs de sécurité au niveau réseau et pare-feu, nous envisageons d'aller
vers une certification EAL2+ à court terme", signale Eugenio Correnti, directeur
technique au sein de l'éditeur d'anti-virus F-Secure.
| "Changer
le noyau nécessitera une nouvelle procédure de certification"
(Thierry Rouquet - Arkoon) |
Et Philippe Honigman, directeur général de SkyRecon Systems,
éditeur positionné sur la sécurité pro active du poste
client, d'indiquer de son côté : "Nous nous préparons au processus
de certification Critères Communs qui apporte une évaluation indépendante
de la robustesse de la solution par rapport aux fonctions offertes. L'occasion
nous sera alors donnée d'améliorer nos processus de développement".
Toutefois, la démarche de certification ne s'arrête pas à l'obtention
du certificat, et le pourvoyeur de la certification rentrera dans un processus
de maintien du certificat en passant avec le CESTI l'équivalent d'un contrat
de maintenance.
"Un examen de différentiel sera nécessaire
dans le cas de changements fonctionnels mineurs du produit. Une réévaluation complète de la certification sera obligatoire dans
le cas d'un changement majeur d'architecture, de noyau ou de système d'exploitation",
note Thierry Rouquet, P-DG d'Arkoon, éditeur de solutions dans le domaine
de lé sécurité réseaux.
Mais l'obtention d'une
certification Critères Communs est entourée de plusieurs barrières
à l'entrée. La première se situant indéniablement
au niveau du coût : "sous conditions que l'éditeur ait bien organisé
sa documentation, la durée d'une certification EAL2+ pourra être
inférieure à une année, pour un coût total compris entre 150 000
et 250 000 euros", prévient Thierry Rouquet.
L'autre faiblesse
- plus préoccupante - de la certification Critères Communs, se découvre
au niveau du périmètre couvert par la certification elle-même,
à savoir la nature de la cible de sécurité retenue :"la
certification ne permet pas à elle seule de déterminer la pertinence d'une offre
car on peut ainsi certifier des technologies sur la base d'une cible de sécurité
très réduite, ce qui permet d'obtenir plus facilement le fameux label, sans pour
autant établir aucune supériorité fonctionnelle", poursuit Philippe Honigman.
"Il faut prêter une attention toute particulière au contexte
de certification et veiller à certifier un produit dans son environnement opérationnel
réel et non dans des conditions de tests en laboratoire", renchérit
de son côté Thierry Rouquet.
Sans remettre en considération
l'utilité de recourir à la certification des solutions, un éditeur
doit d'abord se poser la question du contexte de sa réalisation. Utilisée
à des fins de boucle d'amélioration de la qualité logicielle
et de l'environnement de développement, elle a tout sons sens. Quand au
fait de s'en servir uniquement à des fins marketing... à moins que
sa pertinence découle d'un subtil dosage entre ces deux motivations ?
|
| | |
Dossier 
