Newsletter
Accueil > Information > Technical > Black Box explique > KVM > Certificat NIAP et certificat EAL pour les tests de sécurité
Navigation
 

Certificat NIAP et certificat EAL pour les tests de sécurité

Black Box explique

La certification NIAP et la certification EAL portent toutes deux sur les tests de sécurité des produits informatiques. Cependant, elles diffèrent dans leur approche et leurs critères. Découvrez la différence entre ces deux normes internationales et pourquoi le NIAP est aujourd'hui privilégié.

Certification NIAP

Le National Information Assurance Partnership (NIAP) est l'organisme américain chargé de la mise en œuvre du cadre des Critères communs. Le système d'évaluation et de validation des critères communs (CCEVS) est le système d'évaluation américain mis en œuvre dans le cadre du NIAP pour répondre aux exigences de l'accord de reconnaissance des critères communs (CCRA). Le NIAP CCEVS supervise les évaluations des produits informatiques commerciaux destinés à être utilisés dans les systèmes de sécurité nationale. L'avantage d'utiliser la norme internationale des Critères communs est que les produits peuvent être évalués une seule fois et vendus dans plusieurs pays. Cela permet une utilisation efficace des ressources du gouvernement et de l'industrie. L'ADRC garantit que les laboratoires accrédités, indépendamment de leur situation géographique ou de leur affiliation nationale, testeront les produits en fonction des mêmes critères et utiliseront la même méthode d'essai. Les termes « NIAP » et « CCEVS » sont couramment utilisés de manière interchangeable.

Certification EAL

Le niveau d'assurance de l'évaluation (EAL) est un système de notation numérique utilisé pour décrire l'étendue et la gravité de l'évaluation d'un produit. Chaque numéro EAL correspond à un rang catégorique attribué à un produit ou à un système informatique composé de sept niveaux : Le niveau EAL1 était le plus élémentaire et le moins coûteux à évaluer et à mettre en œuvre, tandis que le niveau EAL7 était le plus intense et le plus coûteux à mettre en œuvre.

Depuis 2013, le NIAP n'accepte plus les évaluations basées sur les EAL et a opté pour des évaluations avec une conformité exacte aux profils de protection (PP) spécifiques à la technologie afin de fournir des résultats d'évaluation réalisables, reproductibles et testables. Cette mesure a permis de réduire la confusion causée par l'EAL chez les acheteurs/utilisateurs finaux.

Bien que les exigences d'assurance pour chaque produit et système soient les mêmes, les exigences fonctionnelles sont différentes et chaque produit peut avoir des niveaux différents dans le même profil de protection, ce qui rend les comparaisons très difficiles. Les utilisateurs finaux et les acheteurs n'ont plus qu'à rechercher des produits conformes au PP pour le profil de protection qui correspond à leurs besoins, plutôt que d'essayer de comprendre la signification de l'ancien système de numérotation EAL.

Grille de comparaison

Certificat NIAP Certificat EAL
Tous les fournisseurs d’un même type de produit doivent respecter les mêmes critères de sécurité Le fournisseur peut choisir individuellement les critères de sécurité, ce qui provoque des incohérences entre des produits similaires
Les méthodes d’évaluation sont validées par le Common Criteria Recognition Arrangement Reconnaissance limitée par le Common Criteria Recognition Agreement (jusqu’à EAL2)
Méthodes d’évaluation objectives Approche subjective de l’identification des critères fonctionnels du produit
Résultats pertinents, réalisables et répétables avec modèles de menace définis et ensembles de critères fonctionnels en matière de sécurité qui doivent être rassemblés dans un profil de protection (PP). Profils de protection non utilisés. Les résultats ne sont pas répétables entre les différents produits et fournisseurs
Profils de protection développés par des communautés techniques par le biais de la communauté chargée des Critères communs Critères généraux développés par des fournisseurs isolés
Les menaces sont identifiées et mandatées par la NSA et d’autres agences de sécurité internationales. Les critères matériels sont définis en fonction des menaces. Les menaces sont identifiées après que le fournisseur a associé les fonctions du produit aux Critères communs, ce qui provoque des bases différentes et une assurance moindre.

Qu'est-ce que les critères communs ?

Reconnus au niveau international, les critères communs sont un ensemble de lignes directrices relatives à la sécurité des produits des technologies de l'information. Les critères communs ont été élaborés pour garantir à l'acheteur et à l'utilisateur final que la spécification, l'évaluation et la mise en œuvre de chaque produit ont été effectuées de manière rigoureuse et normalisée. Pour répondre aux exigences des critères communs, chaque produit doit être testé et vérifié de manière indépendante par un laboratoire de sécurité tiers pour se comporter de manière sécurisée par rapport à des normes internationalement reconnues.

Les critères communs garantissent des résultats cohérents qui sont vérifiés par un laboratoire d'essai tiers afin de répondre à des exigences de sécurité spécifiques. Ces exigences sont actuellement obligatoires pour le gouvernement fédéral américain ainsi que pour de nombreux autres gouvernements internationaux.

Qu'est-ce qu'un profil de protection (PP) ?

Les critères communs peuvent être appliqués à de nombreux produits informatiques tels que les logiciels, les commutateurs/routeurs de réseau, les pare-feu, les clients de messagerie et même les clés USB. Un profil de protection (PP) est créé pour chaque type de produit afin de déterminer les exigences de sécurité pour la classe spécifique d'équipement. Le profil de protection spécifie des critères génériques d'évaluation de la sécurité pour confirmer la conformité de l'équipement aux exigences de sécurité pour cette famille de produits. Les profils de protection sont utilisés pour établir une base de référence internationalement reconnaissable pour les exigences et les techniques de sécurité.

Pour en savoir plus sur les critères communs du NIAP et les produits conformes :

Pourquoi acheter un produit certifié Critères Communs tel que Black Box Secure KVM Switches ?

Les commutateurs KVM sécurisés de Black Box ont été rigoureusement testés et évalués par un laboratoire de sécurité Accredited Testing and Evaluation (AT&E) accrédité par le National Institute of Standards and Technology (NIST). Les commutateurs sont testés conformément aux critères internationalement acceptés et au cadre géré par le gouvernement (NSA). Cela signifie que toutes les fonctions de sécurité des produits Black Box NIAP Peripheral Sharing Devices (PSD) v4.0 Secure KVM ont été vérifiées de manière indépendante ; le produit a été évalué en termes de vulnérabilité, a passé avec succès des tests de pénétration des menaces et une inspection rigoureuse du processus de développement technique tel que défini par le profil de protection PSD v4.0.