Évaluation de la sécurité

Aperçu

L’évaluation de la sécurité est un processus au cours duquel des organisations indépendantes et agréées prouvent la sécurité de produits et de systèmes informatiques à des institutions commerciales, gouvernementales et militaires. Ces évaluations, et les critères en vertu desquels elles sont réalisées permettent d’instaurer un niveau de confiance pour les acheteurs et les fournisseurs de TI. De plus, les critères et les cotes des évaluations de sécurité peuvent être utilisés comme des définitions concises des exigences en matière de sécurité des TI. Les évaluations de la sécurité des TI comptent deux aspects importants : les critères en vertu desquels les évaluations sont réalisées et les procédés ou les méthodologies qui régissent la manière d’effectuer officiellement de telles évaluations et la personne qui pourra les mener.

L’évaluation de la sécurité est un processus au cours duquel des organisations indépendantes et agréées prouvent la sécurité de produits et de systèmes informatiques à des institutions commerciales, gouvernementales et militaires. Ces évaluations, et les critères en vertu desquels elles sont réalisées permettent d’instaurer un niveau de confiance acceptable pour les acheteurs et les fournisseurs de TI. De plus, les critères et les cotes des évaluations de sécurité peuvent être utilisés comme des définitions concises des exigences en matière de sécurité des TI. Les évaluations de la sécurité des TI comptent deux aspects importants : les critères en vertu desquels les évaluations sont réalisées et les procédés ou les méthodologies qui régissent la manière d’effectuer officiellement de telles évaluations et la personne qui pourra les mener.

1. Les Critères communs sont un cadre international (ISO/IEC 15408) qui définit une approche commune pour l’évaluation des caractéristiques et des capacités en matière de sécurité des produits de sécurité des technologies de l’information. Un produit certifié est un produit qu’un organisme de certification reconnu atteste comme ayant été évalué par un laboratoire d’évaluation qualifié, agréé, indépendant et compétent dans le domaine de l’évaluation de la sécurité des TI en vertu des Critères communs et de la Méthodologie commune pour l’évaluation de la sécurité des technologies de l’information.

2. Le programme FIPS 140-2 est administré conjointement par les États-Unis et le Canada. Aux États-Unis, le programme est géré par le NIST (National Institute of Standards and Technology) par l’intermédiaire du CMVP (Cryptographic Module Validation Program). Au Canada, le programme est géré par le Centre de la sécurité des télécommunications Canada (CSTC).

Pour en savoir plus, consultez le site Web Évaluations de la sécurité sur Oracle Technology Network. Pour consulter une matrice des évaluations de la sécurité d’Oracle en cours et terminées, reportez-vous à Oracle Security Evaluations Status.

Si vous avez des questions à propos des évaluations de la sécurité d’Oracle, veuillez écrire à seceval_us@oracle.com.

Avantages des évaluations de la sécurité

Vérification indépendante Évaluations de sécurité d’établissements d’évaluation agréés relatives aux assertions de sécurité des produits.
Mesures d’assurance standard et indépendantes Chaque assertion de sécurité de fournisseurs est évaluée par rapport à des mesures d’assurance standard.
Amélioration des produits Les évaluations de la sécurité peuvent mener à des améliorations de la conception globale et à l’implémentation de mesures de sécurité dans les solutions certifiées.
Identification des vulnérabilités architecturales Les évaluations de sécurité peuvent permettre de cerner des vulnérabilités architecturales.
Informations supplémentaires