Newsletter
The Black Box website uses cookies.
By continuing the use of the Black Box website, or by pressing the agree button on the right, you consent to the use of cookies on this website. More information.
X
Home > Resources > Technical Resources > Black Box Explains > KVM > Certificat NIAP et certificat EAL pour les tests de sécurité
Navigation
KVM
« Black Box Explains
 

Certificat NIAP et certificat EAL pour les tests de sécurité

Black Box explique

Les certificats NIAP et EAL concernent tous deux le test de sécurité des produits IT. Toutefois leur approche et leurs critères diffèrent. Découvrez les différences entre ces deux normes internationales et pourquoi le label NIAP est désormais privilégié.

Certificat NIAP

Le certificat NIAP est attribué par le National Information Assurance Partnership, qui supervise les tests de sécurité, les évaluations et la validation des produits et systèmes IT, dont ceux utilisés par la sécurité nationale. Le NIAP a créé le CCEVS, à savoir le programme d'évaluation et de validation des Critères communs (Common Criteria Evaluation and Validation Scheme). Cette norme internationale autorise une évaluation unique des produits en vue de leur commercialisation dans plusieurs pays. Dans le cadre du Common Criteria Recognition Arrangement, les laboratoires accrédités, quels que soient leur situation géographique ou leur pays, testent les produits sur la base des mêmes critères et méthodes. Les termes « NIAP » et « CCEVS » sont synonymes.

Qu’est-ce que l’EAL ?

L’acronyme EAL signifie « Evaluation Assurance Level », ou niveau d’assurance d'évaluation en français. Il s'agit d’une valeur qui décrit la rigueur d'un processus d'évaluation. Chaque valeur EAL correspond à un niveau attribué à un produit ou un système IT. La valeur EAL1 est le plus élémentaire alors que le niveau EAL7 est le plus intense et le plus coûteux. Bien que les critères d’assurance pour chaque produit et système soient les mêmes, les besoins fonctionnels variaient et chaque produit pouvait avoir des niveaux différents au sein d'un même profil de sécurité. Les comparaisons étaient dès lors particulièrement difficiles.

Depuis 2013, le NIAP n’accepte plus les évaluations EAL. Le groupe est donc passé à des évaluations strictement conformes au profil de protection (PP) afin de fournir des résultats tangibles, répétables et testables. Les PP limitent la confusion par rapport au certificat EAL. Les utilisateurs et les acheteurs recherchent des produits conformes à la norme PP et adaptés à leur usage.

Grille de comparaison

Certificat NIAP Certificat EAL
Tous les fournisseurs d’un même type de produit doivent respecter les mêmes critères de sécurité Le fournisseur peut choisir individuellement les critères de sécurité, ce qui provoque des incohérences entre des produits similaires
Les méthodes d’évaluation sont validées par le Common Criteria Recognition Arrangement Reconnaissance limitée par le Common Criteria Recognition Agreement (jusqu’à EAL2)
Méthodes d’évaluation objectives Approche subjective de l’identification des critères fonctionnels du produit
Résultats pertinents, réalisables et répétables avec modèles de menace définis et ensembles de critères fonctionnels en matière de sécurité qui doivent être rassemblés dans un profil de protection (PP). Profils de protection non utilisés. Les résultats ne sont pas répétables entre les différents produits et fournisseurs
Profils de protection développés par des communautés techniques par le biais de la communauté chargée des Critères communs Critères généraux développés par des fournisseurs isolés
Les menaces sont identifiées et mandatées par la NSA et d’autres agences de sécurité internationales. Les critères matériels sont définis en fonction des menaces. Les menaces sont identifiées après que le fournisseur a associé les fonctions du produit aux Critères communs, ce qui provoque des bases différentes et une assurance moindre.

En savoir plus sur la transition du certificat EAL au certificat NIAP

En savoir plus sur les Critères communs NIAP

Reconnus partout dans le monde, les Critères communs NIAP sont un ensemble de lignes directrices pour la sécurité des produits technologiques. Ils ont été développés pour que l’acheteur et l’utilisateur final soient sûrs que la préparation, l’évaluation et la mise en oeuvre de chaque produit aient été réalisées dans le respect des normes. Pour respecter les Critères communs, chaque produit doit faire l'objet de tests indépendants et être vérifié par un laboratoire de sécurité tiers. Les Critères communs NIAP sont obligatoires pour le gouvernement fédéral des Etats-Unis et de nombreux autres gouvernements étrangers.

En savoir plus sur les profils de protection

Les Critères communs NIAP peuvent s’appliquer à différentes technologies de l’information, à savoir les logiciels, les commutateurs réseau, les routeurs, les pare-feu, les clients de messagerie et même les clés USB. Chaque produit dispose d’un profil de protection qui définit les normes de sécurité propres à chaque catégorie de matériel. Le profil de protection définit les normes d'évaluation générale de la sécurité, qui établissent la conformité du matériel aux critères de sécurité pour cette gamme de produits. Les profils de protection définissent une référence reconnue à l’échelle internationale en matière de critères et techniques de sécurité.

En savoir plus sur les Critères communs NIAP et les produits conformes :