Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

Qu'est-ce que les critères communs et comment obtenir la certification ?

Illumio Editorial
Illumio Editorial
August 23, 2019
23 min. lire

Il y a près de deux ans, j'ai eu la chance de rejoindre l'équipe d'Illumio en tant que chef de produit fédéral. La première chose à faire a été d'obtenir les certifications de produits requises par le gouvernement fédéral, notamment FIPS 140-2 et la conformité à la section 508 de la GSA. Récemment, Illumio Core a obtenu une autre certification de sécurité gouvernementale importante appelée Critères communs. Avec cette certification, Illumio devient le premier fournisseur de sécurité d'entreprise à être certifié conforme au profil de protection standard du National Information Assurance Partnership (NIAP) pour la gestion de la sécurité d'entreprise, Policy Management v2.1, qui se concentre sur la définition et la gestion des politiques de contrôle d'accès.

Alors que les agences gouvernementales (et les organisations non fédérales) cherchent à protéger leurs actifs de grande valeur contre les menaces persistantes avancées, la nécessité de dissocier la sécurité de l'architecture du réseau afin de déployer efficacement la segmentation basée sur l'hôte est devenue une priorité absolue. Illumio Core sépare la sécurité du réseau et les segments au niveau de l'hôte, ce qui permet aux clients de créer et d'appliquer des politiques de segmentation qui protègent les applications critiques où qu'elles s'exécutent.

Qu'est-ce que les critères communs ? Qu'est-ce qu'un profil de protection NIAP ? En quoi cela est-il important pour le gouvernement fédéral ? Approfondissons un peu...

Qu'est-ce que les critères communs ?

Les critères communs constituent un ensemble de normes de sécurité internationalement reconnues, utilisées pour évaluer l'assurance de l'information (IA) des produits informatiques proposés au gouvernement par des fournisseurs commerciaux. L'Arrangement de reconnaissance des critères communs (ARCC) est composé de 30 pays membres, dont les États-Unis, l'Australie, la France, le Royaume-Uni, l'Allemagne, les Pays-Bas, la Corée du Sud et d'autres. Les produits de TI évalués dans le cadre de l'ADRC sont mutuellement reconnus par tous les pays membres, ce qui permet aux entreprises d'évaluer les produits une seule fois et de les vendre à de nombreux pays. Il fait partie de l'évaluation des capacités et des caractéristiques des produits de sécurité informatique pour les exigences d'assurance.

L'évaluation de la sécurité est rigoureuse et complète et est effectuée par des laboratoires indépendants agréés. Les tests IA sont conçus pour évaluer les risques associés à l'utilisation, au traitement, au stockage et à la transmission d'informations ou de données entrant ou sortant du produit en cours d'évaluation. Le profil de protection prévoit notamment qu'un produit doit être conforme à toutes les exigences du PP.

Les Critères communs reposent sur quelques concepts clés importants :

  • Objectif de sécurité : Les capacités du projet évalué doivent être explicitement indiquées.
  • Profil de protection : Un modèle utilisé pour un ensemble standard d'exigences pour une classe spécifique de produits apparentés.
  • Niveaux d'assurance de l'évaluation : Définissez le produit et la manière dont il est testé. Les EAL vont de 1 à 7, 7 étant le maximum et 1 le minimum.
  • Cible de l'évaluation : Le système ou le dispositif qui doit faire l'objet d'un examen en vue de la certification selon les critères communs.
  • Exigences fonctionnelles de sécurité : Exigences qui se réfèrent à des fonctions de sécurité uniques

 

Pour Illumio Core, une partie importante de l'évaluation s'est concentrée sur l'ensemble des fonctionnalités d'audit et de sécurité. Dans le cadre des critères communs, le fournisseur définit les fonctionnalités de sécurité qu'il souhaite évaluer en rédigeant une cible de sécurité. Dans la cible de sécurité, la portée de l'évaluation est identifiée par la cible d'évaluation (TOE). Dans le cas d'Illumio Core, la TOE (ou champ d'évaluation) comprenait le moteur de calcul des politiques (Policy Compute Engine - PCE) et le nœud d'application virtuel (Virtual Enforcement Node - VEN).
 

Qu'est-ce qu'un profil de protection NIAP ?

En 2009, le National Information Assurance Partnership (NIAP), le dispositif américain d'évaluation des Critères communs, a mis à jour sa politique pour exiger que toutes les certifications Critères communs soient conformes aux exigences de sécurité directement issues des profils de protection approuvés par le NIAP. Auparavant, les exigences fonctionnelles des critères communs étaient définies par les différents fournisseurs dans le cadre du niveau d'assurance de l'évaluation (EAL). Avec le passage aux profils de protection NIAP, les exigences fonctionnelles des critères communs sont adaptées pour répondre aux exigences de sécurité et de test d'une classe technologique spécifique (par exemple, gestion des politiques, pare-feu, VPN).

Les produits faisant l'objet d'évaluations par rapport à un profil de protection doivent être conformes à 100% aux exigences fonctionnelles spécifiées dans le profil de protection. Il n'est pas acceptable de ne se conformer qu'à 99% du profil de protection - une conformité complète et totale est nécessaire pour réussir la certification. L'un des moyens de renforcer votre protection est de disposer d'une sécurité complète des points d'extrémité. Les exigences strictes en matière de sécurité témoignent de la nature rigoureuse et complète de la certification Critères communs mentionnée ci-dessus. Cela nous amène au dernier point...

Pourquoi le gouvernement s'intéresse-t-il aux critères communs et aux profils de protection ?

Tout d'abord, pour les agences de défense américaines, la certification Critères Communs est imposée par la politique de sécurité nationale américaine NSTISSP #11, qui régit l'acquisition de produits informatiques d'assurance de l'information et d'IA par le gouvernement américain. En résumé, si vous êtes un fournisseur de technologies de l'information ou de sécurité souhaitant vendre des produits au ministère de la défense dans le but de protéger les systèmes de sécurité nationaux (NSS), vous devez disposer des Critères communs. 

Ensuite, selon le tableau de bord informatique de l'Office of Management and Budget, le ministère américain de la défense (DoD) est en passe de dépenser 38 milliards de dollars en contrats informatiques non classifiés au cours de l'année fiscale 2019. L'un des principaux obstacles que les fournisseurs commerciaux doivent surmonter pour vendre des produits informatiques au ministère de la défense est l'obtention des certifications gouvernementales requises en matière de conformité et de sécurité des produits, telles que les Critères communs. Comme l'indique le NIAP: "Les produits figurant sur la NIAP Product Compliant List (PCL), qui se disent conformes aux profils de protection du gouvernement américain, répondent aux niveaux de sécurité minimaux jugés appropriés par le NIST et la NSA et doivent généralement être préférés aux produits qui ne font pas de telles déclarations."

En outre, le NIAP stipule ce qui suit : "S'il existe un profil de protection approuvé par le gouvernement américain pour un domaine technologique particulier, mais qu'aucun produit validé conforme au profil de protection n'est disponible, l'organisme acquéreur doit exiger, avant l'achat, que les fournisseurs soumettent leurs produits à l'évaluation et à la validation [...] par rapport au profil de protection approuvé."

Comme vous pouvez le constater, la certification Critères communs basée sur les profils de protection NIAP constitue un contrôle de conformité informatique essentiel pour le gouvernement américain lorsqu'il s'agit d'acquérir des produits et des solutions commerciales. 

Enfin, nous tenons à remercier et à féliciter tous les membres des équipes de développement de produits et d'ingénierie d' Illumio pour cette importante réalisation, ainsi que l'équipe talentueuse de Cygnacom Solutions pour son excellent travail en tant que laboratoire NVLAP d'Illumio.

Pour plus de détails sur les certifications d'Illumio en matière de critères communs et d'autres certifications de sécurité gouvernementales, consultez le site : 

Sujets connexes

No items found.

Articles connexes

Comment se prémunir contre la nouvelle vulnérabilité de sécurité du port TCP 135
Cyber Resilience

Comment se prémunir contre la nouvelle vulnérabilité de sécurité du port TCP 135

Un moyen d'exploiter le port TCP 135 pour exécuter des commandes à distance a introduit une vulnérabilité du port 445, rendant nécessaire la sécurisation du port 135 pour assurer la sécurité du TCP.

Read more
Progrès de la fiducie fédérale zéro pour l'année fiscale en cours : Un expert Q&A
Cyber Resilience

Progrès de la fiducie fédérale zéro pour l'année fiscale en cours : Un expert Q&A

Découvrez l'état de la confiance zéro au sein du gouvernement, la transformation de la confiance zéro au niveau fédéral cette année, et comment la technologie de la confiance zéro, comme la microsegmentation, modernise la cybersécurité au niveau fédéral.

Read more
Recherche ESG : Comment les petites et moyennes entreprises peuvent remédier à l'impréparation aux brèches
Cyber Resilience

Recherche ESG : Comment les petites et moyennes entreprises peuvent remédier à l'impréparation aux brèches

Découvrez les conclusions de la recherche ESG du cabinet d'analystes sur la situation des petites et moyennes entreprises en matière de confiance zéro et de progrès en matière de segmentation.

Read more
No items found.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more