ÉVALUATION

Une évaluation effectuée par des experts indépendants selon des méthodes éprouvées couvre aussi bien la qualité du développement que l’efficacité des mesures de sécurité. L’expérience montre que le seul fait d’adopter la démarche rigoureuse exigée pour une évaluation améliore globalement la qualité du processus de développement et de fabrication.

Certificat à l’appui, le développeur peut ainsi pleinement valoriser son savoir faire.

 

Le laboratoire d’Oppida intervient ainsi pour :

– réaliser des évaluations Critères Communs (ISO 15408)

– réaliser des évaluations Certification de Sécurité Premier Niveau (CSPN)

– assister nos clients dans leur démarche d’évaluation

– certifier les opérateurs de jeux en ligne

 

 

Nos références démontrent notre expertise dans le domaine.

Évaluation CSPN

Plus de 100 évaluations de produits et systèmes : PKI, VPN, applications de signature, dispositifs de chiffrement, firewall, système d’horodatage, systèmes d’exploitation, infrastructure télécom, téléphonie, coffre-fort électronique, etc

 

  •  – Stockage sécurisé : Atos Worldline, Linagora, Keynectis, cecurity, Dictao
  •  – Pare-feu : Stormshield, Bee Ware, SGDI (Netfilter)
  •  – Identification, authentification et contrôle d’accès : Gunnebo, Adminext, balabit, Nedap, BULL, Thalès,Wallix
  •  – Communication sécurisée : MBDSYS, Navista, clearbus, GIE-SESAME VITALE
  •  – Automate programmable industriel : Schneider Electric France

Évaluation critères communs

Une procédure de certification met en jeu quatre acteurs : le commanditaire (organisme finançant l’évaluation), le développeur du produit, l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI), en tant qu’organisme certificateur en France, et le Centre d’Evaluation de la Sécurité des Systèmes d’Information (CESTI) laboratoire indépendant agréé pour l’évaluation de la sécurité de produits et de systèmes.

Les évaluations en France se déroulent selon les critères communs, normalisés par l’ISO sous la référence ISO 15408. Sauf accord spécifique de l’ANSSI, il n’est plus possible de réaliser des évaluations selon les critères européens ITSEC.

  • La première étape consiste à définir le niveau d’évaluation que vous souhaitez atteindre et le périmètre de la cible d’évaluation.

 

Ces deux éléments sont très importants, car c’est eux qui déterminent la charge, le coût et la durée de l’évaluation. Cette étape est la phase de préparation de l’évaluation, qui aboutit à la rédaction de la cible de sécurité du produit, qui correspond au cahier des charges pour l’évaluateur. Pour cela, nous pouvons, si le client le souhaite, effectuer un audit rapide du processus de développement et de l’environnement de développement, ainsi que de la conception du produit, afin d’estimer le type de fournitures disponibles pour répondre aux besoins de l’évaluation ainsi que la charge de travail interne nécessaire.

metier-LABORATOIRE1
metier-LABORATOIRE2
La seconde étape consiste à la réalisation des tâches d’évaluation.

 

 

Le CESTI va appliquer la méthodologie d’évaluation associée aux Critères Communs. Pour cela, il est important que le développeur puisse fournir au CESTI toutes les informations dont il a besoin, au moment où il en a besoin, afin de ne pas retarder l’évaluation. Les tâches réalisées sont variables en fonction du niveau d’évaluation mais prennent en compte les aspects qualité du développement, tests technique et processus de développement.

La durée d’une évaluation est très variable : de quelques mois à plus d’une année, en fonction encore une fois du périmètre et du niveau visé. A l’issue du rapport technique d’évaluation rédigé par le CESTI, l’ANSSI émettra le certificat confirmant le niveau de confiance atteint. Jusqu’à un niveau EAL4, ce certificat sera reconnu par tous les acteurs majeurs en sécurité informatique, en particulier les Etats-Unis d’Amérique, le Canada, l’Europe et le Japon. Une démarche d’évaluation répond donc à une logique industrielle, et est de ce fait un facteur important de différenciation.

Assistance à l'évalution

En tant que CESTI agréé, Oppida dispose d’une expertise spécifique et reconnue dans la démarche d’évaluation.
 

Pour les développeurs :

 

    • – assistance à la rédaction de cibles de sécurité (Security Target – ST)

– formation aux Critères Communs

  • – assistance à la rédaction de fournitures pour des évaluations réalisées par d’autres CESTI

– assistance en vue de la « qualification » d’un produit par l’ANSSI

 

 

Pour les clients finaux :

 

    • – assistance à la rédaction de profils de protection (PP)

– assistance à la rédaction de cahier des charges, assistance à l’analyse des offres

Oppida a ainsi participé à la rédaction et/ou l’évaluation de Profils de Protection pour le compte de l’ANSSI pour le processus de qualification (Machine à voter, Firewall IP, Firewall Personnel, Application de Création de Signature Électronique, Module de Vérification de Signature Électronique, système d’horodatage, etc…).

 

  • – PP-PFP : Evaluation du PP firewall personnel
  • – PP-FWIP : Evaluation du PP firewall IP
  • – PP-SH : Evaluation du PP Système d’horodatage
  • – PP-ACSE : Evaluation du PP Application et création de signature
  • – PP-MVSE : Evaluation du PP Module de vérification de signature

Signature électronique et preuve

  • Evaluation au niveau EAL3+ du serveur de validation de signature (Dictao Validation Server) de Dictao (Qualification Standard)
  • Evaluation au niveau EAL3+ de la plateforme de signature électronique (Adsignerweb) de Dictao (Qualification Standard)

Evaluation au niveau EAL2+ du module de signature électronique de CDC-FAST (Caisse des Dépôts) (Qualification Standard)

Evaluation au niveau EAL2+ du module de signature de Kotio

  • Evaluation EAL3 + de l’application de signature Trustysign v4 de C-S

VPN

Evaluation (2005) et ré-évaluation (2008) du VPN Mistral de Thales (Qualification Standard)

Evaluation (2005) et ré-évaluation (2008) du VPN Trustway de Bull (Qualification Standard)

Firewall

Evaluation (2004) et ré-évaluation (2009) du Firewall Arkoon FAST (Qualification Standard)

Evaluation au niveau EAL4+ du Firewall Fox de Thalès (DGA -Qualification renforcée)

Evaluation (en cours) EAL3+ du firewall de la société EdenWall (qualification standard)

Administration de ma sécurité

Evaluation au niveau EAL2+ du l’application d’Exaprotect

Evaluation au niveau EAL1+ du réseau IP multiservice de Cegetel

Protection du poste de travail

Evaluation au niveau EAL4+ de la librairie Security BOX® Crypto 6.0 intégrée dans la gamme de produits Security BOX® Suite de la société MSI

Evaluation au niveau EAL3+ du logiciel de chiffrement de fichiers Zone Central de Prim’X (Qualification Standard)

  • Evaluation au niveau EAL3+ du logiciel de chiffrement ZED ! de Prim’X (Qualification Standard
  • Evaluation au niveau EAL3+ du logiciel de chiffrement ZED ! de Prim’X (Qualification Standard
  • Evaluation EAL3+ de l’outil de chiffrement de fichiers SecurityBox Team (qualification standard)

Infrastructure et gestion de clés ( IGC)

  • Evaluation EAL4+ de l’IGC Sequoia de Keynectis
  • Evaluation EAL3+ de la PKI Opentrust PKI v4.0 de la société Opentrust

Evaluation EAL4+ de la librairie Opensource CESECORE

  • Evaluation EAL4+  (en cours) de la PKI Opensource EJBCA

Ressources cryptographiques

  • Evaluation au niveau EAL4+ de la librairie Security BOX® Crypto 6.0 intégrée dans la gamme de produits Security BOX® Suite de la société MSI

OS - multi niveau

  • Evaluation EAL2+ d’un Linux sécurisé au profit de DCNS

Evaluation EAL5+ du système multi niveau SINAPSE (DGA – qualification renforcée)

Solution de corrélation de logs

  • Evaluation EAL2+ du SMS d’Exaprotect

Certification ARJEL

Oppida est officiellement agréé par l’ARJEL pour réaliser des opérations de certifications des opérateurs de jeu
(Décision de l’’ARJEL n°2010-125 en date du 22 octobre 2010 portant inscription sur la liste des organismes certificateurs). 

 

Au-delà de cet agrément, indispensable pour mener les opérations de certification,  nous apportons notre expertise spécifique sur les jeux en ligne à nos clients, opérateurs de jeux.

Ainsi, dans le cadre de la candidature d’opérateurs,
nous sommes intervenus pour :

  • – réaliser des audits de conformité des règles de jeux
  • – réaliser des audits de code
  • – réaliser les audits de l’aléa cryptographique

 

Par ailleurs, le coffre-fort utilisé par les opérateurs doit être évalué et certifié CSPN. Oppida, en tant que CESTI agréé, réalise les évaluations de l’ensemble des coffres-forts utilisés (Dictao, Cecurity.com,  Keynectis, Atos, Linagora).

Cette véritable vision du métier nous permet ainsi, dans le respect des règles d’indépendance indispensables aux organismes de certification, de mener les audits de certification adaptés aux enjeux et contextes propres de chaque opérateur.

Cryptographie

  • – expertise et évaluation des mécanismes cryptographiques, de leur conception à leur implémentation dans les systèmes
  • – revue d’architecture crypto
  • – revue des protocoles crypto utilisés (documentaire, formel)
  • – vérification de conformité à l’état de l’art
  • – vérification de RNG
      • – conseil aux solutions blockchain
      • – anonymisation et RGPD (et notamment dans le domaine e-santé)
      • – accompagnement crypto dans le cadre du règlement eIDAS
      • – accompagnement FIPS
      • – rédaction de spécifications crypto (notamment dans le cadre d’évaluation de produits)
      • – cotation/expertise crypto
  • – partenariat : ENS (qualité des aléas), CNRS (vote électronique)