Retour

Une solution conforme certes mais efficace également

Ne pas avoir de problèmes est le plus gros problème qui soit.
Taiichi ÔNO

évaluation de sécurité

Cela fait au moins dix ans que j’annonce à des prospects, des étudiants, des collaborateurs, etc. qu’une évaluation de sécurité peut s’interpréter comme l’estimation de l’efficacité de mesures par rapport à des objectifs de sécurité. En d’autres termes, une évaluation (dans le domaine de la sécurité informatique) cherche à démontrer qu’un produit (ou un système) répond de façon conforme et efficace à des objectifs définis.

Le lendemain de l’anniversaire de ma fille aînée, à peine remis du repas gargantuesque donc en pleine digestion depuis 24 heures, on m’a posé des questions (que j’estime pertinentes après réflexion) sur les objectifs finaux d’une évaluation de sécurité : « en quoi une évaluation prouve l’efficacité d’un produit ou d’une solution ? De quoi parles-tu exactement ? Pourquoi parler de conformité et d’efficacité ? En quoi une évaluation de sécurité prouve une quelconque conformité et/ou efficacité ? ».

Rââââââhhhhhhh !! Pourquoi ces questions ? Pourquoi maintenant ? Moi qui pensais pouvoir me reposer tranquillement sur mes acquis… Ça me paraissait tellement clair mon explication… Allez, trouvons une réponse adaptée et pour cela, je vais faire appel à un ami : l’ANSSI (Agence nationale de la sécurité des systèmes d’information) qui, dans le catalogue des solutions qualifiées, l’écrit clairement et sans détour : « l’évaluation comporte principalement deux volets : une analyse de la conformité du produit […] une analyse de vulnérabilités […] ».

Ouf ! Je suis soulagé, je n’ai pas diffusé de message mensonger pendant toutes ces années, je vais pouvoir continuer à dormir sur mes deux oreilles. Cependant… force est de constater que je suis allé peut-être un peu vite en besogne… mon explication des objectifs d’une évaluation de sécurité ne devait semble-t-il pas être très claire (conformité de mon propos mais pas d’efficacité a priori).

En effet, de mon point de vue, en phase de tests, une évaluation de sécurité doit comporter deux types d’expérimentations : les tests dits de conformité où la cible est évaluée fonctionnellement et les tests dits de robustesse dont l’objectif est de mettre en défaut la cible. Pour résumer, les tests de conformité sont réalisés sous l’angle « développeur » tandis que les tests de vulnérabilités sont réalisés sous l’angle « attaquant ». Pour rappel, les travaux d’évaluation de sécurité sont toujours réalisés dans un contexte opérationnel précis c’est-à-dire sur la base d’une plateforme clairement définie.

Prenons un exemple très simpliste et supposons l’objectif de sécurité suivant : « le produit à évaluer doit protéger en confidentialité le lien entre A et B, où A et B se trouvent dans un réseau non maîtrisé ». Maintenant, supposons que j’ai développé le produit JCVD (aka The Muscles from Brussels) qui protège le lien entre A et B à l’aide de la primitive cryptographique DES (Data Encryption Standard). Au cours de l’évaluation, il est certain que JCVD sera conforme à l’objectif car le lien est protégé en confidentialité (si et seulement si la primitive DES implémentée dans JCVD correspond bien à ses propres spécifications). Cependant, JCVD n’est pas du tout efficace car il utilise une primitive qui n’est pas robuste (et non recommandée). Ainsi, JCVD est conforme mais non efficace donc l’évaluation conclura à un échec. Par contre, si, dans JCVD, la primitive DES était remplacée par une primitive plus robuste et recommandée par l’ANSSI, l’évaluation pourrait valider a priori l’efficacité de la protection en confidentialité (et donc un éventuel succès de l’évaluation si la primitive est conforme à ses spécifications).

En conclusion, un produit (un système) peut être conforme à des objectifs sans être forcément efficace. La réciproque, par contre, est impossible (et n’a pas de sens).

Considérons maintenant un cas réel, Systancia a fait évaluer selon le schéma franco-français CSPN (Certification de Sécurité de Premier Niveau) les fonctions de sécurité dédiées à l’identification, l’authentification, la traçabilité, etc. implémentées dans la solution IPdiva Secure 8.0. Les travaux d’évaluation ont démontré qu’IPdiva Secure apporte une réponse adéquate (conforme) et performante (efficace) en protégeant l’authentification ainsi que le contrôle d’accès des utilisateurs sur les ressources protégées d’un système d’information.

Donc, je persiste et signe, le succès d’une évaluation prouve la conformité et l’efficacité d’une cible dans un contexte opérationnel à un moment donné par rapport à une problématique de sécurité (sous couvert du respect des hypothèses qui sont des déclarations portant sur le contexte d’emploi de la cible ou de son environnement). En conclusion, la certification CSPN délivrée par l’ANSSI (sur la base de travaux d’évaluation contrôlés et validés par le centre de certification de l’ANSSI) atteste que la solution IPdiva Secure 8.0 de Systancia offre des fonctionnalités et un niveau de sécurité éprouvés à la problématique de sécurité définie dans sa cible de sécurité qui donne les objectifs de sécurité.

Antoine COUTANT – Directeur Cybersécurité