Certifications

Certification et qualification des produits Dictao

Axes majeurs de la stratégie produit de l'entreprise

DVS est le 1er produit européen de validation de signature électronique certifié au niveau EAL3+ des Critères Communs

Dictao AdSigner est le 2ème produit européen (1er français) de signature électronique certifié au niveau EAL3+ des Critères Communs

anssi

Pour garantir à ses clients un niveau de qualité et de sécurité maximal, Dictao a qualifié et certifié ses produits de signature électronique et de validation de signature électronique, selon les Critères Communs, définis par l'ISO (International Standards Organization).

Le référentiel ‘Critères Communs' est une norme internationale qui sert à évaluer la qualité et la fiabilité des produits de sécurité. La certification selon cette norme contribue à donner valeur légale à la chaîne de signature électronique et à en renforcer la sécurité. Elle est internationalement reconnue tant en Europe qu'en Amérique du Nord et en Asie.

Dictao Validation Server est le premier produit mondial de validation de signature qualifié et certifié au niveau d'assurance EAL3+ des Critères Communs (ISO 15408), en conformité avec le Profil de protection « Module de vérification de signature électronique » (PP/nc0503)

Dictao AdSigner est le premier produit français (le deuxième mondial) de signature électronique qualifié et certifié, au niveau d'assurance EAL3+ des Critères Communs (ISO 15408), en conformité avec le Profil de Protection « Application de création de signature électronique » (PPnc/0504).

Reconnue au niveau européen et international, la certification d'un produit, selon les Critères Communs, est prononcée par la Direction Centrale de la Sécurité des Systèmes d'Information, par délégation du Premier Ministre, et atteste de la conformité de ce dernier à un cahier des charges sécuritaires rendu publique, dénommé « cible de sécurité », au terme d'une évaluation réalisée par un laboratoire (CESTI) indépendant et agréé. Celle-ci s'appuie sur une analyse approfondie de la conception du produit, des méthodes de développement, de la documentation associée et sur la réalisation de tests poussés et rigoureux.
Le niveau de sécurité EAL3+ est pratiquement le plus élevé pour une solution logicielle.

L'offre de Dictao se distingue de celle de ses concurrents, pour au moins trois raisons :

La qualification

La qualification au niveau standard apporte deux garanties supplémentaires par rapport à la certification : l'approbation de la cible de sécurité et l'analyse de la résistance des mécanismes cryptographiques par l'ANSSI.

Elle permet à Dictao AdSigner et à Dictao Validation Server de figurer au catalogue des produits qualifiés consultable sur le site Internet de l'ANSSI.

La conformité au Profil de Protection

La conformité de la cible de sécurité de Dictao AdSigner au Profil de Protection « Application de création de signature électronique » (PPnc/0504) est essentielle et renforce la dimension universelle de cette certification et les exigences de sécurité associées. En effet, le Profil de Protection définit les objectifs et exigences de sécurité de haut niveau, indépendants de l'implémentation, communs à l'ensemble des applications de signature électronique et à l'ensemble des utilisateurs (les signataires).

Le renversement de la charge de la preuve

Les signatures et les preuves produites par Dictao AdSigner et Dictao Validation Server, associés à un dispositif sécurisé de création de signature électronique et à un certificat qualifié, sont présumées fiables, au sens de l'article 4 de la loi 2000-230 du 13 mars 2000 et du décret 2001-272 du 30 mars 2001 : la charge de la preuve incombe au contestataire (renversement de la charge de la preuve).

Dictao poursuit les efforts de qualification de son offre ; à l'heure actuelle le s produits serveurs de signature électronique et de coffre-fort électronique sont en cours de qualification par l'ANSSI.

Certification et Qualification

La qualification d'un produit atteste qu'il répond bien aux caractéristiques de sécurité spécifiées dans une cible de sécurité préalablement approuvée par l'ANSSI. Elle s'appuie pour cela sur l'évaluation et certification du produit selon les Critères Communs, réalisée par un laboratoire agréé par l'ANSSI.
Trois niveaux de robustesse des produits sont définis (Standard, Renforcé, Elevé), en fonction de la valeur des informations à protéger et le niveau de menace auquel le produit doit faire face. 

Profils de protection élaborés par l'ANSSI en collaboration avec Dictao

Dès le commencement du projet, Dictao a participé activement au groupe de travail d'élaboration des profils de protection relatifs à la signature électronique, sous l'égide de l'Agence nationale de la sécurité des systèmes d’information (ANSSI)

Ces profils ont pour objectifs de faciliter la certification et la qualification au niveau standard d'applications de création de signature électronique et d'applications de vérification de signature électronique - notamment dans le cadre du développement de l'administration électronique, pour laquelle la PRIS (Politique de Référencement Intersectorielle de Sécurité) recommande d'utiliser des applications de signature électronique qualifiées au niveau standard.

Bien que l'utilisation d'une application certifiée de création de signature électronique ou de vérification de signature électronique ne soit pas requise pour bénéficier de la présomption de fiabilité au sens du décret n°2001-272 du 30mars 2001, il est recommandé d'y recourir afin d'améliorer la sécurité de l'ensemble de la chaîne et de disposer de preuves complémentaires en cas de contestation de la signature démontrant que le procédé de création ou de vérification de signature utilisé n'est pas fiable (c'est à dire en cas d'apport par un tiers contestataire d'une preuve contraire remettant en cause la présomption de fiabilité de la signature).

Le profil de protection « Application de création de signature électronique » (PPnc/0504)
Ce profil de protection définit les exigences de sécurité d'une application de création de signature électronique pouvant s'interfacer avec un dispositif sécurisé de création de signature (SSCD 1) ou un dispositif de création de signature (SCDev). On entend par « création de signature électronique » la génération de la signature d'un document et d'attributs afférents à la signature avec une clé privée associée à un certificat propre au signataire et confinée dans un dispositif de création de signature.

Le dispositif de création de signature (SCDev) est dénommé SSCD lorsqu'il est évalué conformément aux critères définis dans l'annexe III de la Directive Européenne sur la signature électronique 1999/93/CE. Le profil de protection défini dans le document CWA 14169 est reconnu comme étant conforme à ces critères.

Le profil de protection « Module de vérification de signature électronique » (PPnc/0503)
Ce profil de protection définit des exigences de sécurité pour un module qui est utilisé dans le cadre d'une une application de vérification de signature électronique.
Il permet de répondre aux exigences de l'article 5 (Chapitre II : Des dispositifs de vérification de signature électronique) du décret 2001-272 du 30 mars 2001. Celles-ci se rapportent plus particulièrement à la vérification de signature lorsqu'elle est réalisée sous le contrôle direct d'un être humain, mais il est important de noter que ce profil de protection envisage de manière équivalente la vérification de signature qu'elle soit réalisée par un système automatisé ou par un être humain. 

Niveaux d'assurance (EAL)

Les Critères Communs partie 3 définissent sept niveaux d'assurance d'évaluation (EAL), dont la signification générale est la suivante :

  • EAL1 - testé fonctionnellement
  • EAL2 - testé structurellement
  • EAL3 - testé et vérifié méthodiquement
  • EAL4 - conçu, testé et revu méthodiquement
  • EAL5 - conçu à l'aide de méthodes semi-formelles et testé
  • EAL6 - conception vérifiée à l'aide de méthodes semi-formelles et testé
  • EAL7 - conception vérifiée à l'aide de méthodes formelles et testé

Le niveau d'évaluation requis par la qualification standard et les profils de protection sur la signature électronique est le niveau EAL2 augmenté . Les augmentations portent sur l'analyse de vulnérabilité (AVA_VLA 2), les corrections d'anomalies (ALC_FLR.3), la conception du produit (ADV_HLD.2), la conception de bas-niveau (ADV_LLD.1 ), la représentation de l'implémentation (ADV_IMP.11), les outils de développement (ALC_TAT.11), la facilité d'emploi (AVA_MSU.1), et la sécurité du développement (ALC_DVS.1).

Dictao a choisit de faire évaluer Dictao AdSignerWeb au niveau EAL3 augmenté , approfondissant les tests fonctionnels menés sur l'application et requérant une gestion plus stricte de l'ensemble des éléments associée au produit 

Liens

>> Fiches produits Dictao AdSigner sur le site ANSSI
>> Fiches produits Dictao Validation Server sur le site ANSSI
>> Rapport de certification (pdf)
>> Portail des Critères Communs
>> Portail de la sécurité informatique (SGDN)