Amossys - Conseil et expertise en sécurité des technologies de l'information
Evaluation
Nos autres métiers
La confiance dans la sécurité de produits et de systèmes passe par leur évaluation et leur certification par des tierces parties. Le Centre d'Evaluation de la Sécurité des Technologies de l'Information (CESTI) d’AMOSSYS est agréé par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) pour réaliser des évaluations dans le cadre de la Certification Sécurité de Premier Niveau (CSPN) et selon les Critères Communs.
LA DEMARCHE CSPNLa CSPN permet d’attester que le produit a subi avec succès une évaluation par des centres d’évaluation agréés par l'ANSSI, dans un temps et une charge contraints, conduisant à une certification. Les travaux ont pour objectif de vérifier que le produit est conforme à ses spécifications de sécurité, à coter les mécanismes de façon théorique, à recenser les vulnérabilités connues de produits de sa catégorie et à stresser le produit.
Les produits évaluables sont classés selon les catégories de la liste suivante. AMOSSYS est autorisé à réaliser des évaluations CSPN pour tous les types de produits :
- Détection d’intrusions
- Anti-virus, protection contre les codes malicieux
- Pare-feu
- Effacement de données
- Administration et supervision de la sécurité
- Identification, authentification et contrôle d’accès
- Communication sécurisée
- Messagerie sécurisée
- Stockage sécurisé
- Matériel et logiciel embarqué
associé à la CSPN
- Des travaux d’analyse équilibrés entre efficacité et conformité
- Des tâches d’évaluation réalisées en temps contraint (2 mois maximum)
- La garantie pour l’industriel d’engager un budget borné
- La possibilité de réaliser l’évaluation sans implication forte du développeur
- L’émission in fine par l'ANSSI, d’un certificat à portée nationale, suite aux travaux du CESTI.
Nos évaluations
-
Evaluation de In-Webo, nCode - générateur de mots de passeL'application nCode est un générateur de mots de passe à usage unique (OTP) pour platesformes mobiles. Elle permet, avec plus de fiabilité que la présentation d'un couple nom d'utilisateur/mot de passe, de discriminer les utilisateurs autorisés à accéder à un service de ceux non-autorisés à y accéder. L'application nCode fonctionne de façon autonome, c'est-à-dire sans connexion ni échange de données avec un serveur distant.
-
Evaluation d'un logiciel d'un système embarqué :
Cette évaluation a donné lieu à une certification (catégorie matériel et logiciel embarqué)
-
Evaluation de Bro - NIDS :Bro est un Système de Détection d’Intrusion Réseau (Network Intrusion Detection System) open source, disponible pour les systèmes d’exploitation de type Unix, qui analyse passivement le trafic réseau à la recherche de toute activité suspecte :
-
Evaluation de Blancco Data Cleaner +Blancco Data Cleaner+ est conçu pour assurer un service d’effacement sécurisé de disques durs et implémente pour ce faire plusieurs algorithmes d’effacement correspondant à des référentiels nationaux et internationaux :
-
Evaluation d'une solution Open-Source de sécurisation de messagerie.
Cette évaluation n'a pas été suivie d'une certification.
-
Évaluation de Trusted Foundation - Système d'exploitation sécuriséLe produit Trusted Foundations (TF) est un système d'exploitation (OS) sécurisé destiné à s'exécuter sur un dispositif portable tel qu'un téléphone mobile ou une tablette tactile. TF apporte des services dédiés permettant de sécuriser le dispositif portable sans en perturber son fonctionnement.
-
Évaluation de SCOOP-MS v1.0 - Anti-virus, protection contre les codes malicieuxLe produit SCOOP-MS développé SECLAB-FR est un dispositif de filtrage permettant un transfert unidirectionnel de données entre un dispositif de stockage de masse (par exemple une clef USB) situé en zone basse et une machine haute. Il permet le passage d’information du dispositif de stockage vers la machine haute via un point de stockage relais, avec des restrictions sur le contenu des données échangées.
-
Évaluation de l'application TEOPAD v1.1.06 - Matériel et logiciel embarquéDéveloppée par la société Thales Communications & Security, TEOPAD est une solution permettant de déployer des applications sécurisées sur les smartphones et les tablettes dans un contexte professionnel. La solution TEOPAD permet de créer sur un terminal mobile un environnement professionnel sécurisé qui peut cohabiter avec un contexte personnel ouvert. Cet environnement professionnel se présente sous la forme d'une application qui peut être lancée après authentification de l'utilisateur et à partir d'une simple icône sur le bureau natif du terminal.
-
Évaluation du produit TrueCrypt v7.1a - Stockage sécurisé
TrueCrypt est une application logicielle conçue par la fondation TrueCrypt Foundation pour le chiffrement de masse des données de l'utilisateur. Le chiffrement de disque est une méthode de protection de données pour les supports de stockage. Il est soit possible de chiffrer l'ensemble du disque dur (FDE, Full Disk Encryption), pour empêcher qu'un attaquant accède à l'ensemble des données du système (y compris le système d'exploitation); soit des partitions ou des volumes, pour empêcher qu'un attaquant d'accède à certaines données.
-
Évaluation de la fonction de filtrage du produit PA2050 v5.0.4 - Pare-feuLe boîtier PA2050 développé par la société Palo Alto Networks est un pare-feu qui se présente sous la forme d'une appliance, et offre notamment des fonctions permettant l'identification des applications, des utilisateurs et du contenu des flux en provenance et à destination du réseau de l'entreprise.
-
Évaluation de la bibliothèque logicielle Digital DNA Corelib v.3.2.0 - Identification, authentification et contrôle d'accèsLe produit évalué est la bibliothèque logicielle « Digital DNA Corelib » développée par Login People, en version 3.2.0. La bibliothèque, intégrée dans son environnement d'exploitation, permet de renforcer le processus d'authentification pour l'accès au réseau d'une organisation, en utilisant un ou plusieurs périphériques appartenant à l'utilisateur et connectés au poste client. Le produit permet ainsi notamment de n'autoriser les connexions au réseau cible que depuis un terminal maîtrisé par l'organisation.
-
Évaluation du produit DZ-NETWORK v.1.0 - Pare-feu
Le produit DZ-NETWORK est un dispositif permettant l’échange d’information entre deux réseaux de niveaux de confiance différents. Il réalise une rupture protocolaire ainsi qu’un filtrage des informations échangées lors des transferts via les protocoles FTP et Modbus-TCP. Le produit se présente sous forme d’une appliance, il est composé de deux systèmes embarqués (nommés « PC haut » et « PC bas »), l’un situé en zone basse (réseau non maîtrisé) et l’autre en zone haute (réseau maîtrisé). Ces systèmes sont reliés par un FPGA (Field-Programmable Gate Array) de filtrage et de rupture protocolaire. Son objectif est de protéger la zone haute d’attaques provenant de la zone basse.
La sécurisation des systèmes d'information repose en partie sur la mise en œuvre de fonctions (techniques, logicielles et matérielles) fournies dans de nombreux cas par des produits de sécurité. Les Critères Communs (désignés aussi par le terme CC) sont une méthodologie d'évaluation de la sécurité dans le domaine des technologies de l'information. C'est une méthodologie ouverte, publique, gratuite et reconnue internationalement. De ce fait, les CC sont utilisés partout dans le monde et en particulier par les vingt-six pays signataires de l'accord de reconnaissance mutuelle CCRA (http://www.commoncriteriaportal.org/ccra/).
Le COFRAC, organisme français en charge de délivrer ces accréditations, a vérifié, au cours d'une évaluation, que le CESTI AMOSSYS disposait :
- des compétences techniques pour pratiquer des essais, des analyses ou des étalonnages : vérification par des auditeurs externes de la façon de travailler du laboratoire
- d’un manuel d’assurance qualité et d’un système de management de la qualité répondant aux exigences de la norme ISO/IEC 17025 et de l’activité du CESTI
Le COFRAC, via sa section « Laboratoires », a accrédité AMOSSYS, selon la norme ISO/IEC 17025, pour le périmètre « Essais pour l’évaluation de la sécurité des technologies de l’information », à compter du 01/01/2010, sous le numéro 1-2190.
A la lumière de cet accréditation et suite aux résultats d'un audit réalisé par ses soins, l’ANSSI a prononcé le 7 novembre 2011 l’agrément du CESTI AMOSSYS pour procéder aux évaluations de sécurité des produits du type « Logiciels et équipements réseaux ».
Cette reconnaissance permet ainsi à l’ANSSI de s’appuyer sur le CESTI AMOSSYS pour évaluer la sécurité de produits avant leur éventuelle certification.
Nos évaluations
-
Evaluation EAL3+ de Blancco Data Cleaner +
Blancco Data Cleaner+ est conçu pour assurer un service d’effacement sécurisé de disques durs et implémente pour ce faire plusieurs algorithmes d’effacement correspondant à des référentiels nationaux et internationaux :
-
Évaluation EAL3+ de ZonePoint v.3.0, build 330Le produit évalué est « ZonePoint, version 3.0, build 330 » développé par Prim'X Technologies. Ce produit est destiné à gérer des zones de stockage chiffrées au sein de bibliothèques de documents SharePoint. ZonePoint réalise le chiffrement et le déchiffrement local (sur le poste de l'utilisateur) et « à la volée » des documents téléchargés depuis ou transmis vers les bibliothèques de documents chiffrés. Il permet, pour chaque zone chiffrée, de définir et gérer des accès, via des secrets détenus par les utilisateurs.