La série de normes ISO/IEC 15408 définit un référentiel pour l’évaluation en matière de sécurité de l’information de produits des Technologies de l’Information et de la Communication (TIC). Connues également sous l’appellation « Critères Communs », ces normes sont en particulier à la base du schéma de certification européen EUCC (Common Criteria based European candidate cybersecurity certification scheme) à venir dans le cadre du Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité). La nouvelle spécification technique ISO/IEC TS 9569:2023 Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Patch Management Extension for the ISO/IEC 15408 series and ISO/IEC 18045 vient complémenter cette série de normes, en proposant entres autres choses une nouvelle famille d’assurance permettant de tenir compte de l’implémentation de correctifs de sécurité (security patches) après la certification du produit initial.
D’une part, il est notoire que l’obtention d’un certificat dans le référentiel des « Critères Communs » peut s’avérer coûteux en ressources pour le fabricant du produit TIC en question. D’autre part, quand une nouvelle vulnérabilité voit le jour sur ce même produit après sa certification, il est impératif de préparer et de déployer un correctif. Or, ce déploiement modifie la cible initiale de certification, de sorte qu’en théorie, un processus de re-certification comprenant en particulier une nouvelle analyse fine de la nouvelle cible devient nécessaire. La spécification technique ISO/IEC TS 9569:2023 Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Patch Management Extension for the ISO/IEC 15408 series and ISO/IEC 18045 - préparée par le sous-comité technique de normalisation ISO/IEC JTC 1/SC 27 Information security, cybersecurity and privacy protection – apporte un début de résolution à cette situation à travers deux contributions spécifiques :
- La proposition d’une nouvelle famille d’assurance - au sein de la classe d’assurance sur le cycle de vie du produit - portant explicitement sur le patch management. Ainsi, une évaluation des processus de gestion de correctifs peut être explicitement faite dans le cadre de la certification initiale, de sorte à limiter l’introduction de nouvelles vulnérabilités en cas de déploiement de correctifs futurs. Des éléments aidant à guider les activités d’évaluation de cette famille sont également décrits, compléments logiques à la norme ISO/IEC 18045 ;
- Une liste de plusieurs options possibles pour des schémas de certification en vue de faciliter la re-certification, en présupposant que la nouvelle famille d’assurance ait été utilisée au départ.
Toutefois, il est important de préciser que la spécification technique ISO/IEC 9569:2022 n’apporte pas à elle seule une réponse normée complète à la question de la re-certification. En effet, elle ne donne pas un processus à suivre ou des exigences à respecter pour réaliser une re-certification efficiente de manière systématique suite à la mise en place d’un correctif.