Êtes-vous un étudiant de l'EPFL à la recherche d'un projet de semestre?
Travaillez avec nous sur des projets en science des données et en visualisation, et déployez votre projet sous forme d'application sur Graph Search.
Critères communs
Les critères communs (CC) sont un ensemble de normes (ISO 15408) internationalement reconnu dont l'objectif est d'évaluer de façon impartiale la sécurité des systèmes et des logiciels informatiques. Également dénommés Common Criteria, ce référentiel est né d'un partenariat entre le Canada, les États-Unis et l'Europe. Grâce au cadre offert, les utilisateurs de technologies de l’information vont pouvoir utiliser des profils de protection pour spécifier les exigences fonctionnelles de sécurité attendues et les évaluateurs pourront vérifier que les produits sont bien conformes au niveau d’assurance requis. La mise en œuvre des Critères Communs décidée par les signataires d’un accord de reconnaissance mutuelle, facilite grandement l’acceptation des certificats de sécurité des technologies de l’information émis par l’un des pays signataires. Le produit certifié en toute impartialité par une autorité compétente, peut être utilisé sans nécessiter une évaluation plus poussée. Bien que présentant de nombreux avantages, l’application de cette norme s’avère coûteuse, difficilement compréhensible pour un non initié et souvent compliquée à mettre en œuvre. C’est la raison pour laquelle plusieurs méthodes d’utilisation ont vu le jour. thumb|upright=1.7|Liste des pays signataires ou reconnaissants l'accord CC-MRA. En 1983, puis 1985, le NIST et la NSA publient l'Orange Book. Le but de ce document était d'évaluer la capacité d'un système à se défendre contre des attaques. Dans le même temps l'Europe s'inspire des TCSEC pour définir en 1991 ses propres critères d'évaluation les ITSEC. Ils vont combler des lacunes dans l'analyse des risques. En 1993, le Canada définit sa propre norme CTCPEC et valide les résultats de l'évaluation en délivrant ou non le certificat final. En France Par décret, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) est nommée autorité de certification. Cette agence a deux rôles : responsable de l'agrément des Centre d'évaluation de la sécurité des technologies de l'information (CESTI) qui sont chargés de l'évaluation.