Les produits des Technologies de l’Information (TI) sont à présents partout dans la société : logiciels pour ordinateurs ou dispositifs mobiles, matériels pour serveur, routeurs, équipements pour systèmes industriels modernes, etc. L’évaluation en particulier de la résistance de ces produits à des incidents de sécurité ou à des cyber-attaques est de ce fait devenu un enjeu majeur. La série de normes ISO/IEC 15408 Information security, cybersecurity and privacy protection — Evaluation criteria for IT security et la norme ISO/IEC 18045 Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Methodology for IT security evaluation, portant dans leur ensemble sur une méthodologie rigoureuse de l’évaluation des fonctions de sécurité dont est équipé un produit TI, ont donc été révisées et publiées durant l’été de 2022. Cela est d’autant plus important que ces normes sont à la base d’un des schémas de certification proposés dans le cadre du règlement européen sur la certification en cyber sécurité (le Cybersecurity Act, ou CSA), à savoir le Common Criteria based European candidate cybersecurity certification scheme (EUCC) qui concerne la sécurité des produits TI.
Plus précisément, la série de normes ISO/IEC 15408 définit un cadre pour spécifier des exigences de sécurité pour produits TI (qui peuvent aller du logiciel au produit physique), et ce de manière suffisamment générique pour permettre une comparaison d’évaluations sécurité entre produits d’une même catégorie. La norme ISO/IEC 18045 quant à elle décrit la méthodologie à suivre pour réaliser ces évaluations, à partir des spécifications issues de la ISO/IEC 15408. Toutes ces normes sont développées et maintenues par le comité technique de normalisation international ISO/IEC JTC 1/SC 27 Information security, cybersecurity and privacy protection.
Alors que l’ancienne série de normes ISO/IEC 15408 est composée de trois parties, il y en a désormais cinq afin de raffiner la méthodologie. Incluant la nouvelle édition de la ISO/IEC 18045, ces normes sont :
- la ISO/IEC 15408-1:2022 Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Part 1: Introduction and general model, décrivant le modèle général de la méthodologie de spécification d’exigences et d’évaluation ;
- la ISO/IEC 15408-2:2022 Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Part 2: Security functional components, contenant une liste de composantes génériques de sécurité fonctionnelle à considérer dans un produit TI. Ces composantes confèrent directement au produit TI des défenses contre des incidents et attaques ;
- la ISO/IEC 15408-3:2022 Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Part 3: Security assurance components, donnant la liste de composantes génériques en matière d’assurance en sécurité. Ces composantes permettent d’établir, lors d’une évaluation, dans quelle mesure les composantes de sécurité fonctionnelle (listées dans la partie 2) en place dans le produit TI atteignent leur but ;
- la ISO/IEC 15408-4:2022 Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Part 4: Framework for the specification of evaluation methods and activities. Cette nouvelle partie de la série donne un cadre pour construire de manière systématique des tâches et activités pour un évaluateur selon cette série de normes ;
- la ISO/IEC 15408-5:2022 Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Part 5: Pre-defined packages of security requirements. Une nouvelle partie de la série qui définit des regroupements formels d’exigences venant des parties 2 et 3. On y trouve en particulier les descriptions des Evaluation Assurance Levels allant de 1 à 7, qui sont communément utilisés pour exiger un niveau d’assurance donné pour un produit spécifique ; et
- la ISO/IEC 18045:2022 Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Methodology for IT security evaluation, qui est un guide de réalisation d’évaluations de sécurité TI selon la série ISO/IEC 15408.
Au Grand-Duché, l'ILNAS a été nommé Autorité Nationale de Certification de Cybersécurité (ANCC) en charge du volet « surveillance » de la bonne application des schémas de certification du CSA. Cette tâche est prise en charge par le Département de la Confiance Numérique de l’ILNAS. De plus, ce dernier suit activement le développement des normes européennes et internationales, en particulier en lien avec la thématique de prestation de services de confiance. Rappelons que tout acteur économique du Luxembourg a également la possibilité de participer à l’élaboration de normes européennes ou internationales en s’inscrivant comme délégué national en normalisation dans des comités techniques de l’ISO, de l’IEC, du CEN, ou du CENELEC via l’ILNAS. Enfin, il est possible soit de consulter gratuitement (en lecture seule) un grand nombre de normes - incluant la série de normes ISO/IEC 15408 et la norme ISO/IEC 18045 - sur l’une des stations de lecture de l’ILNAS, ou de les acheter via l’ILNAS e-shop.