réseaux
Question de :
M. Éric Woerth
Oise (4e circonscription) - Union pour un Mouvement Populaire
M. Éric Woerth appelle l'attention de Mme la ministre déléguée à l'industrie sur les mesures relatives à l'adoption d'une norme de sécurité Critères communs sur les nouvelles technologies. L'Union européenne a adopté une résolution en décembre 2001 invitant les Etats membres à promouvoir la norme « Critères communs » (CC) standardisée ISO 15408 pour le secteur des nouvelles technologies. Cette norme a pour vocation d'être utilisée comme base pour l'évaluation des propriétés de sécurité des produits et systèmes des Nouvelles technologies de l'information et de la communication (NTIC). En établissant une telle base de critères communs, les résultats d'une évaluation de la sécurité des NTIC sont significatifs pour la plus large audience. De plus ces CC permettent de comparer les résultats d'évaluations de sécurités menées indépendamment les unes des autres. Cela est rendu possible grâce à un ensemble commun d'exigences pour les fonctions de sécurité des produits et systèmes NTIC et pour les mesures d'assurance qui leur sont appliquées pendant une évaluation de sécurité Le processus d'évaluation établit un niveau de confiance dans le fait que les fonctions de. sécurité de tels produits et systèmes et les mesures d'assurance qui leur sont appliquées satisfont à ces exigences. Les résultats de l'évaluation peuvent aider les acheteurs à déterminer si le produit ou le système NTIC est suffisamment sûr pour l'application qu'ils envisagent et si les risques liés à là sécurité qui sont implicites dans son utilisation sont tolérables. Le schéma français d'évaluation et de certification précise le contexte réglementaire et (organisation nécessaires à la conduite d'une évaluation par une tierce partie et à son contrôle, conduisant à la délivrance de certificats. Le décret n° 2002-535 du 18 avril 2002 définit le cadre réglementaire du schéma. La mise en oeuvre du schéma français est confiée à la DCSSI, sous le contrôle du comité directeur de la certification en sécurité des technologies de l'information qui a la responsabilité de définir la politique générale du schéma. La DCSSI dans son rôle d'organisme de Certification procède à la délivrance des certificats. Depuis mai 2000 un arrangement de reconnaissance mutuelle selon les Critères communs couvre les certificats exigeant les composants d'assurance compris entre les niveaux EAL. 1 et EAL. 4. Les organismes de certification qualifiés pour émettre des certificats, dans le cadre d leurs' schémas respectifs, au titre de cet accord sont : le BSI (Allemagne), le CESG (Royaume-Uni), le CSE (Canada), la DCSSI (France), le DSD et le GCSB (Australie et Nouvelle-Zélande), le NIST et la NSA (Etats-Unis). De plus, les pays suivants, signataires de l'accord, reconnaissent les certificats émis par ces organismes certifiés : Autriche, Espagne, Finlande, Grèce, Israël, Italie, Norvège, Pays-Bas, Suède, ce qui confère à la norme CC une très large couverture territoriale en impliquant les plus grands partenaires économiques de la France. La sécurité des systèmes et des réseaux étant une préoccupation importante du gouvernement, préoccupation clairement mise en exergue par le récent projet de « loi pour la confiance dans l'économie numérique » adopté en première lecture par l'Assemblée nationale le 26 février 2003. Il lui demande quelles mesures sont prises pour promouvoir cette norme et son usage dans notre pays.
Réponse publiée le 8 septembre 2003
La ministre déléguée à l'industrie met en oeuvre un soutien à l'innovation dans le domaine des produits de sécurité, à travers l'appel à projets Oppidum, qui aide financièrement les entreprises, notamment lorsqu'elles intègrent les méthodologies issues de la norme dite des « critères communs » dans toutes les étapes du processus d'innovation. Ce programme a ainsi soutenu la conception de produits dans le domaine des applications, cartes et lecteurs pour la signature électronique, du paiement électronique via les mobiles, des systèmes cryptographiques, des outils de sécurité pour les réseaux, qui ont abouti ou engagé une démarche de certification selon la norme des « critères communs ». Il a également permis l'émergence de deux centres d'évaluation de la sécurité des technologies de l'information (CESTI), dont celui du CEA LETI. La direction centrale de la sécurité des systèmes d'information (DCSSI) a également lancé, dans le cadre de la commission interministérielle de la sécurité des systèmes d'information, une politique de produits qui vise à identifier les niches fonctionnelles propices au renforcement de la sécurité des systèmes d'information et à normaliser les profils de protection correspondants, pour faciliter la certification selon les « critères communs », mieux définir les repères de confiance et encourager l'utilisation de ces produits au sein des administrations et des entreprises. Sous l'impulsion de l'État, la norme des « critères communs » est utilisée notamment pour les cartes à puce, dans le domaine bancaire (porte-monnaie Monéo), dans le domaine des transports (carte usager RATP), dans le domaine de la signature électronique ou pour des systèmes de sécurité des réseaux (systèmes de réseaux privés virtuels ou de pare-feu). Plus de quarante produits ont déjà été certifiés par la DCSSI selon cette norme.
Auteur : M. Éric Woerth
Type de question : Question écrite
Rubrique : Télécommunications
Ministère interrogé : industrie
Ministère répondant : industrie
Dates :
Question publiée le 26 mai 2003
Réponse publiée le 8 septembre 2003