English Version

Evaluation

Nos autres métiers

Conseil Audit Formation Etude R&D

La confiance dans la sécurité de produits et de systèmes passe par leur évaluation et leur certification par des tierces parties. Le Centre d'Evaluation de la Sécurité des Technologies de l'Information (CESTI) d’AMOSSYS est agréé par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) pour réaliser des évaluations dans le cadre de la Certification Sécurité de Premier Niveau (CSPN) et selon les Critères Communs.

La CSPN permet d’attester que le produit a subi avec succès une évaluation par des centres d’évaluation agréés par l'ANSSI, dans un temps et une charge contraints, conduisant à une certification. Les travaux ont pour objectif de vérifier que le produit est conforme à ses spécifications de sécurité, à coter les mécanismes de façon théorique, à recenser les vulnérabilités connues de produits de sa catégorie et à stresser le produit.

Catégories de produits évaluables

Les produits évaluables sont classés selon les catégories de la liste suivante. AMOSSYS est autorisé à réaliser des évaluations CSPN pour tous les types de produits :


  • Détection d’intrusions
  • Anti-virus, protection contre les codes malicieux
  • Pare-feu
  • Effacement de données
  • Administration et supervision de la sécurité
  • Identification, authentification et contrôle d’accès
  • Communication sécurisée
  • Messagerie sécurisée
  • Stockage sécurisé
  • Matériel et logiciel embarqué
Processus d’évaluation / certification
associé à la CSPN


  • Des travaux d’analyse équilibrés entre efficacité et conformité
  • Des tâches d’évaluation réalisées en temps contraint (2 mois maximum)
  • La garantie pour l’industriel d’engager un budget borné
  • La possibilité de réaliser l’évaluation sans implication forte du développeur
  • L’émission in fine par l'ANSSI, d’un certificat à portée nationale, suite aux travaux du CESTI.

Nos évaluations

  • In Webbo
    Evaluation de In-Webo, nCode - générateur de mots de passe

    L'application nCode est un générateur de mots de passe à usage unique (OTP) pour platesformes mobiles. Elle permet, avec plus de fiabilité que la présentation d'un couple nom d'utilisateur/mot de passe, de discriminer les utilisateurs autorisés à accéder à un service de ceux non-autorisés à y accéder. L'application nCode fonctionne de façon autonome, c'est-à-dire sans connexion ni échange de données avec un serveur distant.

  • Evaluation d'un logiciel d'un système embarqué :

    Cette évaluation a donné lieu à une certification (catégorie matériel et logiciel embarqué)

  • Bro
    Evaluation de Bro - NIDS :

    Bro est un Système de Détection d’Intrusion Réseau (Network Intrusion Detection System) open source, disponible pour les systèmes d’exploitation de type Unix, qui analyse passivement le trafic réseau à la recherche de toute activité suspecte :

  • Blancco
    Evaluation de Blancco Data Cleaner +

    Blancco Data Cleaner+ est conçu pour assurer un service d’effacement sécurisé de disques durs et implémente pour ce faire plusieurs algorithmes d’effacement correspondant à des référentiels nationaux et internationaux :

  • Evaluation d'une solution Open-Source de sécurisation de messagerie.

    Cette évaluation n'a pas été suivie d'une certification.

La sécurisation des systèmes d'information repose en partie sur la mise en œuvre de fonctions (techniques, logicielles et matérielles) fournies dans de nombreux cas par des produits de sécurité. Les Critères Communs (désignés aussi par le terme CC) sont une méthodologie d'évaluation de la sécurité dans le domaine des technologies de l'information. C'est une méthodologie ouverte, publique, gratuite et reconnue internationalement. De ce fait, les CC sont utilisés partout dans le monde et en particulier par les vingt-six pays signataires de l'accord de reconnaissance mutuelle CCRA (http://www.commoncriteriaportal.org/ccra/).

L’agrément du CESTI par l'ANSSI passe par l'accréditation, selon la norme ISO/IEC 17025, des activités d’évaluation et d’essai du CESTI AMOSSYS.

Le COFRAC, organisme français en charge de délivrer ces accréditations, a vérifié, au cours d'une évaluation, que le CESTI AMOSSYS disposait :


  • des compétences techniques pour pratiquer des essais, des analyses ou des étalonnages : vérification par des auditeurs externes de la façon de travailler du laboratoire
  • d’un manuel d’assurance qualité et d’un système de management de la qualité répondant aux exigences de la norme ISO/IEC 17025 et de l’activité du CESTI
Accréditation

Le COFRAC, via sa section « Laboratoires », a accrédité AMOSSYS, selon la norme ISO/IEC 17025, pour le périmètre « Essais pour l’évaluation de la sécurité des technologies de l’information », à compter du 01/01/2010, sous le numéro 1-2190.


A la lumière de cet accréditation et suite aux résultats d'un audit réalisé par ses soins, l’ANSSI a prononcé le 7 novembre 2011 l’agrément du CESTI AMOSSYS pour procéder aux évaluations de sécurité des produits du type « Logiciels et équipements réseaux ».


Cette reconnaissance permet ainsi à l’ANSSI de s’appuyer sur le CESTI AMOSSYS pour évaluer la sécurité de produits avant leur éventuelle certification.

Nos évaluations

Blancco
Evaluation EAL3+ de Blancco Data Cleaner +

Blancco Data Cleaner+ est conçu pour assurer un service d’effacement sécurisé de disques durs et implémente pour ce faire plusieurs algorithmes d’effacement correspondant à des référentiels nationaux et internationaux :