Amossys - Conseil et expertise en sécurité des technologies de l'information
La confiance dans la sécurité de produits et de systèmes passe par leur évaluation et leur certification par des tierces parties. Le Centre d'Evaluation de la Sécurité des Technologies de l'Information (CESTI) d’AMOSSYS est agréé par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) pour réaliser des évaluations dans le cadre de la Certification Sécurité de Premier Niveau (CSPN) et selon les Critères Communs.
La CSPN permet d’attester que le produit a subi avec succès une évaluation par des centres d’évaluation agréés par l'ANSSI, dans un temps et une charge contraints, conduisant à une certification. Les travaux ont pour objectif de vérifier que le produit est conforme à ses spécifications de sécurité, à coter les mécanismes de façon théorique, à recenser les vulnérabilités connues de produits de sa catégorie et à stresser le produit.
Les produits évaluables sont classés selon les catégories de la liste suivante. AMOSSYS est autorisé à réaliser des évaluations CSPN pour tous les types de produits :
L'application nCode est un générateur de mots de passe à usage unique (OTP) pour platesformes mobiles. Elle permet, avec plus de fiabilité que la présentation d'un couple nom d'utilisateur/mot de passe, de discriminer les utilisateurs autorisés à accéder à un service de ceux non-autorisés à y accéder. L'application nCode fonctionne de façon autonome, c'est-à-dire sans connexion ni échange de données avec un serveur distant.
Cette évaluation a donné lieu à une certification (catégorie matériel et logiciel embarqué)
Bro est un Système de Détection d’Intrusion Réseau (Network Intrusion Detection System) open source, disponible pour les systèmes d’exploitation de type Unix, qui analyse passivement le trafic réseau à la recherche de toute activité suspecte :
Blancco Data Cleaner+ est conçu pour assurer un service d’effacement sécurisé de disques durs et implémente pour ce faire plusieurs algorithmes d’effacement correspondant à des référentiels nationaux et internationaux :
Cette évaluation n'a pas été suivie d'une certification.
Le produit Trusted Foundations (TF) est un système d'exploitation (OS) sécurisé destiné à s'exécuter sur un dispositif portable tel qu'un téléphone mobile ou une tablette tactile. TF apporte des services dédiés permettant de sécuriser le dispositif portable sans en perturber son fonctionnement.
Le produit SCOOP-MS développé SECLAB-FR est un dispositif de filtrage permettant un transfert unidirectionnel de données entre un dispositif de stockage de masse (par exemple une clef USB) situé en zone basse et une machine haute. Il permet le passage d’information du dispositif de stockage vers la machine haute via un point de stockage relais, avec des restrictions sur le contenu des données échangées.
Développée par la société Thales Communications & Security, TEOPAD est une solution permettant de déployer des applications sécurisées sur les smartphones et les tablettes dans un contexte professionnel. La solution TEOPAD permet de créer sur un terminal mobile un environnement professionnel sécurisé qui peut cohabiter avec un contexte personnel ouvert. Cet environnement professionnel se présente sous la forme d'une application qui peut être lancée après authentification de l'utilisateur et à partir d'une simple icône sur le bureau natif du terminal.
TrueCrypt est une application logicielle conçue par la fondation TrueCrypt Foundation pour le chiffrement de masse des données de l'utilisateur. Le chiffrement de disque est une méthode de protection de données pour les supports de stockage. Il est soit possible de chiffrer l'ensemble du disque dur (FDE, Full Disk Encryption), pour empêcher qu'un attaquant accède à l'ensemble des données du système (y compris le système d'exploitation); soit des partitions ou des volumes, pour empêcher qu'un attaquant d'accède à certaines données.
Le boîtier PA2050 développé par la société Palo Alto Networks est un pare-feu qui se présente sous la forme d'une appliance, et offre notamment des fonctions permettant l'identification des applications, des utilisateurs et du contenu des flux en provenance et à destination du réseau de l'entreprise.
Le produit évalué est la bibliothèque logicielle « Digital DNA Corelib » développée par Login People, en version 3.2.0. La bibliothèque, intégrée dans son environnement d'exploitation, permet de renforcer le processus d'authentification pour l'accès au réseau d'une organisation, en utilisant un ou plusieurs périphériques appartenant à l'utilisateur et connectés au poste client. Le produit permet ainsi notamment de n'autoriser les connexions au réseau cible que depuis un terminal maîtrisé par l'organisation.
Le produit DZ-NETWORK est un dispositif permettant l’échange d’information entre deux réseaux de niveaux de confiance différents. Il réalise une rupture protocolaire ainsi qu’un filtrage des informations échangées lors des transferts via les protocoles FTP et Modbus-TCP. Le produit se présente sous forme d’une appliance, il est composé de deux systèmes embarqués (nommés « PC haut » et « PC bas »), l’un situé en zone basse (réseau non maîtrisé) et l’autre en zone haute (réseau maîtrisé). Ces systèmes sont reliés par un FPGA (Field-Programmable Gate Array) de filtrage et de rupture protocolaire. Son objectif est de protéger la zone haute d’attaques provenant de la zone basse.
La sécurisation des systèmes d'information repose en partie sur la mise en œuvre de fonctions (techniques, logicielles et matérielles) fournies dans de nombreux cas par des produits de sécurité. Les Critères Communs (désignés aussi par le terme CC) sont une méthodologie d'évaluation de la sécurité dans le domaine des technologies de l'information. C'est une méthodologie ouverte, publique, gratuite et reconnue internationalement. De ce fait, les CC sont utilisés partout dans le monde et en particulier par les vingt-six pays signataires de l'accord de reconnaissance mutuelle CCRA (http://www.commoncriteriaportal.org/ccra/).
Le COFRAC, organisme français en charge de délivrer ces accréditations, a vérifié, au cours d'une évaluation, que le CESTI AMOSSYS disposait :
Le COFRAC, via sa section « Laboratoires », a accrédité AMOSSYS, selon la norme ISO/IEC 17025, pour le périmètre « Essais pour l’évaluation de la sécurité des technologies de l’information », à compter du 01/01/2010, sous le numéro 1-2190.
A la lumière de cet accréditation et suite aux résultats d'un audit réalisé par ses soins, l’ANSSI a prononcé le 7 novembre 2011 l’agrément du CESTI AMOSSYS pour procéder aux évaluations de sécurité des produits du type « Logiciels et équipements réseaux ».
Cette reconnaissance permet ainsi à l’ANSSI de s’appuyer sur le CESTI AMOSSYS pour évaluer la sécurité de produits avant leur éventuelle certification.
Blancco Data Cleaner+ est conçu pour assurer un service d’effacement sécurisé de disques durs et implémente pour ce faire plusieurs algorithmes d’effacement correspondant à des référentiels nationaux et internationaux :
Le produit évalué est « ZonePoint, version 3.0, build 330 » développé par Prim'X Technologies. Ce produit est destiné à gérer des zones de stockage chiffrées au sein de bibliothèques de documents SharePoint. ZonePoint réalise le chiffrement et le déchiffrement local (sur le poste de l'utilisateur) et « à la volée » des documents téléchargés depuis ou transmis vers les bibliothèques de documents chiffrés. Il permet, pour chaque zone chiffrée, de définir et gérer des accès, via des secrets détenus par les utilisateurs.
LA DEMARCHE CSPN