L’évaluation de sécurité est un processus permettant aux organismes indépendants mais accrédités de fournir une assurance de sécurité concernant les produits et systèmes informatiques aux institutions commerciales, publiques et militaires. Certaines évaluations, et les critères sur lesquelles elles sont basées, servent à établir un niveau acceptable de confiance pour les acheteurs et les fournisseurs informatiques. De plus, les critères et les scores des évaluations de sécurité peuvent être utilisés comme des expressions concises des conditions de sécurité informatique requises. Les évaluations de sécurité informatique reposent sur deux composants importants : les critères utilisés dans les évaluations et les procédés ou les méthodologies qui régissent la façon dont les évaluations seront officiellement menées et par qui.

L’évaluation de sécurité est un processus permettant aux organismes indépendants mais accrédités de fournir une assurance de sécurité concernant les produits et systèmes informatiques aux institutions commerciales, publiques et militaires. Certaines évaluations, et les critères sur lesquelles elles sont basées, servent à établir un niveau acceptable de confiance pour les acheteurs et les fournisseurs informatiques. De plus, les critères et les scores des évaluations de sécurité peuvent être utilisés comme des expressions concises des conditions de sécurité informatique requises. Les évaluations de sécurité informatique reposent sur deux composants importants : les critères utilisés dans les évaluations et les procédés ou les méthodologies qui régissent la façon dont les évaluations seront officiellement menées et par qui.

1. Le référentiel Common Criteria (Critères communs) est un cadre international (ISO/IEC 15408) qui définit une approche commune de l’évaluation des fonctions de sécurité des produits de sécurité informatique. Un produit certifié est un produit dont un organisme de certification reconnu déclare qu’il a été évalué par un laboratoire d’évaluation qualifié, accrédité et indépendant, compétent dans le domaine de l’évaluation de la sécurité informatique selon les critères du référentiel Critères communs et de la Méthodologie commune pour l’évaluation de la sécurité informatique.

2. Le programme FIPS 140-2 est co-administré par les États-Unis et le Canada. Aux États-Unis, le programme est administré par le NIST (National Institute of Standards and Technology) via le programme CMVP (Cryptographic Module Validation Program). Au Canada, le programme est administré par le CSEC (Communications Security Establishment of the Government of Canada).

Pour plus d’informations, consultez le site Web des évaluations de sécurité sur Oracle Technology Network. Pour obtenir un tableau des évaluations de sécurité Oracle en cours, ainsi que celles déjà effectuées, consultez la page Statut des évaluations de sécurité Oracle.

Pour toute demande concernant les évaluations de sécurité Oracle, envoyez un email à l’adresse seceval_us@oracle.com.

Avantages en termes de sécurité
  • Vérification indépendante — Évaluations de sécurité des réclamations de produit réalisées par des centres d’évaluation accrédités.
  • Mesures d’assurance standard et indépendantes — Chaque réclamation de fournisseur est évaluée d’après les mesures d’assurance standard.
  • Améliorations des produits — Les évaluations de sécurité peuvent mener à des améliorations de la conception globale et de l’implémentation de la sécurité dans les solutions certifiées.
  • Identification des vulnérabilités architecturales — Les évaluations de sécurité peuvent mener à l’identification de vulnérabilités architecturales.
Plus d’informations