/
Cyber-résilience

Quels sont les critères communs et comment obtenir une certification

Il y a près de deux ans, j'ai eu la chance de rejoindre l'équipe Illumio en tant que chef de produit fédéral. Le premier objectif était d'obtenir les certifications de produits requises par le gouvernement fédéral, notamment FIPS 140-2 et conformité à la section 508 de la GSA. Illumio Core a récemment obtenu une autre certification de sécurité gouvernementale importante appelée Common Criteria. Avec cette certification, Illumio est devenu le premier fournisseur de solutions de sécurité d'entreprise à être certifié conforme au profil de protection standard du National Information Assurance Partnership (NIAP) pour Gestion de la sécurité d'entreprise, gestion des politiques v2.1, qui se concentre sur la définition et la gestion des politiques de contrôle d'accès.

Alors que les agences gouvernementales (et les organisations non fédérales) cherchent à protéger leurs actifs de grande valeur contre les menaces persistantes avancées, la nécessité de sécurité du découplage de l'architecture réseau au déploiement efficace de la segmentation basée sur l'hôte est devenue une priorité absolue. Noyau Illumio sépare la sécurité du réseau et des segments au niveau de l'hôte, permettant aux clients de créer et d'appliquer des politiques de segmentation qui protègent les applications critiques où qu'elles soient exécutées.

Que sont donc exactement les Critères communs ? Que sont les profils de protection NIAP ? Et pourquoi est-ce important pour le gouvernement fédéral ? Examinons un peu plus en détail...

Qu'est-ce que les critères communs ?

Listes de critères communs un ensemble de normes de sécurité reconnues à l'échelle internationale qui sont utilisées pour évaluer l'assurance de l'information (IA) des produits informatiques proposés au gouvernement par des fournisseurs commerciaux. L'Arrangement de reconnaissance selon les critères communs (CCRA) est composé de 30 pays membres, dont les États-Unis, l'Australie, la France, le Royaume-Uni, l'Allemagne, les Pays-Bas, la Corée du Sud et d'autres. Les produits informatiques évalués dans le cadre de la CCRA sont mutuellement reconnus par tous les pays membres, ce qui permet aux entreprises d'évaluer les produits une seule fois et de les vendre dans de nombreux pays. Il fait partie de l'évaluation des capacités et des fonctionnalités des produits de sécurité informatique pour les exigences d'assurance.

L'évaluation de sécurité est rigoureuse et complète et est réalisée par des laboratoires indépendants tiers approuvés. Les tests IA sont conçus pour évaluer les risques associés à l'utilisation, au traitement, au stockage et à la transmission d'informations ou de données entrant ou sortant du produit en cours d'évaluation. Une partie du profil de protection est qu'un produit doit être conforme à toutes les exigences en matière de PP.

Les Critères communs comportent certains concepts clés importants :

  • Objectif de sécurité : les capacités du projet en cours d'évaluation doivent être explicitement énoncées
  • Profil de protection : modèle utilisé pour un ensemble standard d'exigences pour une classe spécifique de produits connexes
  • Niveaux d'assurance d'évaluation : définissez le produit et la manière dont il est testé. Les EAL vont de 1 à 7, 7 étant le maximum et 1 le minimum
  • Objectif de l'évaluation : le système ou l'appareil qui doit être examiné pour la certification selon les Critères communs
  • Exigences fonctionnelles de sécurité : exigences qui font référence à des fonctions de sécurité uniques

 

Pour Illumio Core, une partie importante de l'évaluation s'est concentrée sur l'ensemble riche en fonctionnalités de fonctionnalités d'audit et de sécurité. Dans Critères communs, le fournisseur définit les allégations relatives aux fonctionnalités de sécurité à évaluer en rédigeant une cible de sécurité. Dans le cadre de la cible de sécurité, la portée de l'évaluation est définie via la cible d'évaluation (TOE). Dans le cas d'Illumio Core, la TOE (ou champ d'évaluation) incluait le Moteur de calcul des politiques (PCE) et le Nœud d'application virtuel (VEN).
 

Que sont les profils de protection NIAP ?

En 2009, le National Information Assurance Partnership (NIAP), le système américain d'évaluation selon les critères communs, a mis à jour sa politique pour exiger que toutes les certifications conformes aux critères communs soient conformes aux exigences de sécurité directement à partir des profils de protection NIAP approuvés. Auparavant, les exigences fonctionnelles des Critères communs étaient définies par les fournisseurs individuels via le cadre du niveau d'assurance de l'évaluation (EAL). Avec la modification des profils de protection NIAP, les exigences fonctionnelles des Critères communs sont adaptées pour répondre aux exigences de sécurité et de test d'une classe technologique spécifique (par exemple, gestion des politiques, pare-feux, VPN).

Les produits soumis à une évaluation en fonction d'un profil de protection doivent être conformes à 100 % aux exigences fonctionnelles spécifiées dans le profil de protection. Il n'est pas acceptable de respecter seulement 99 % du profil de protection — une conformité complète et totale est requise pour passer la certification. L'une des façons d'améliorer votre protection est d'avoir une protection complète sécurité des terminaux. Les exigences de sécurité strictes témoignent de la nature rigoureuse et complète de la certification selon les Critères communs mentionnée ci-dessus. Cela nous amène au dernier point...

Pourquoi le gouvernement s'intéresse-t-il aux Critères communs et aux profils de protection ?

D'abord, pour les agences de défense américaines, la certification Common Criteria est mandatée par la politique de sécurité nationale américaine NSTISSP #11, qui régit l'acquisition de produits informatiques compatibles avec l'assurance des informations et l'IA par le gouvernement américain. En fin de compte, si vous êtes un fournisseur informatique ou de sécurité souhaitant vendre des produits au DoD dans le but de protéger les systèmes de sécurité nationaux (NSS), vous devez disposer de critères communs.

Suivant, selon l'informatique du Bureau de la gestion et du budget tableau de bord, le ministère américain de la Défense (DoD) est sur la bonne voie pour dépenser 38 milliards de dollars sur les contrats de technologie de l'information non classifiés au cours de l'exercice 2019. L'un des principaux obstacles que les fournisseurs commerciaux doivent surmonter pour vendre des produits informatiques au DoD est d'obtenir les certifications gouvernementales de conformité et de sécurité des produits requises, telles que les critères communs. Comme l'a noté NIAP: « Les produits figurant sur la liste des produits conformes (PCL) du NIAP, qui prétendent être conformes aux profils de protection du gouvernement américain, répondent aux niveaux de sécurité minimaux jugés appropriés par le NIST et la NSA et doivent généralement être préférés aux produits ne présentant aucune allégation de ce type. »

En outre, NIAP déclare : « S'il existe un profil de protection approuvé par le gouvernement américain pour un domaine technologique particulier, mais qu'aucun produit validé conforme au profil de protection n'est disponible pour utilisation, l'organisme acquéreur doit exiger, avant l'achat, que les fournisseurs soumettent leurs produits pour évaluation et validation... par rapport au profil de protection approuvé. »

Comme vous pouvez le constater, la certification Common Criteria basée sur les profils de protection NIAP constitue un contrôle de conformité informatique essentiel pour le gouvernement américain lorsqu'il s'agit d'acquérir des produits et solutions commerciaux.

Enfin, merci et félicitations à tous ceux qui ont participé à Produit Illumio les équipes de développement et d'ingénierie pour cette réalisation importante, ainsi que la talentueuse équipe de Cygnacom Solutions pour son excellent travail en tant que laboratoire NVLAP d'Illumio.

Pour plus de détails sur les critères communs d'Illumio et les autres certifications de sécurité gouvernementales, consultez :

Sujets connexes

Aucun article n'a été trouvé.

Articles connexes

La cyberrésilience : la priorité absolue du secteur bancaire en matière de sécurité
Cyber-résilience

La cyberrésilience : la priorité absolue du secteur bancaire en matière de sécurité

Dans ce discours de décembre 2021, Bo Li, directeur général adjoint du Fonds monétaire international (FMI), a souligné la façon dont la technologie numérique imprègne tous les aspects de la société, augmentant notre dépendance à l'égard de l'interconnectivité et des réseaux qui la soutiennent.

Qu'est-ce qu'un contrôleur de domaine ?
Cyber-résilience

Qu'est-ce qu'un contrôleur de domaine ?

Un contrôleur de domaine répond aux demandes d'authentification de sécurité et vérifie les utilisateurs sur le domaine d'un réseau informatique. Voici comment il sécurise un domaine réseau.

Ce que le décret sur la cybersécurité du président Biden signifie pour les agences fédérales
Cyber-résilience

Ce que le décret sur la cybersécurité du président Biden signifie pour les agences fédérales

Le décret sur la cybersécurité du président Biden vise à accroître la résilience et à réduire les risques pour les agences gouvernementales.

Aucun article n'a été trouvé.

Assume Breach.
Minimisez l'impact.
Augmentez la résilience.

Ready to learn more about Zero Trust Segmentation?