Évaluation de sécurité

Présentation

Pour démontrer davantage la position de leadership et l'engagement d'Oracle en matière de sécurité des produits, des évaluations et des certifications de sécurité externes sont effectuées. Ces évaluations impliquent des tests rigoureux effectués par des laboratoires accrédités de manière indépendante. Les évaluations et les validations externes fournissent une assurance supplémentaire quant à la sécurité de nos produits informatiques. Globalement, ces certifications sont souvent obligatoires pour les marchés publics et établissent un niveau de confiance acceptable pour les acheteurs informatiques. qu'ils soient gouvernementaux, militaires ou commerciaux.

Les évaluations globales de la sécurité informatique comportent deux éléments importants : les critères et la méthodologie selon lesquels les évaluations sont effectuées, ainsi que les programmes gouvernementaux qui les régissent. Bien que les critères soient les mêmes quel que soit le pays dans lequel vous travaillez, différentes politiques sont appliquées en fonction des programmes. À l'heure actuelle, Oracle participe activement à deux critères d'évaluation de sécurité reconnus au niveau international :

1. Le référentiel Common Criteria (Critères communs, CC) est un cadre international (ISO/IEC 15408) qui définit une approche commune de l'évaluation des fonctions et des capacités de sécurité des produits informatiques. Issu de trois autres référentiels de sécurité nationale, CC a évolué au fil des années pour suivre les tendances en matière de sécurité et la technologie des produits. À ce jour, 30 pays reconnaissent ce cadre, tandis que 18 de ces pays, y compris les États-Unis, sont autorisés à émettre des certificats. Un produit certifié CC (Common Criteria) est un produit qu'un programme gouvernemental agréé reconnaît comme ayant réussi une évaluation réalisée par un laboratoire d'évaluation agréé et indépendant.

2. Le référentiel FIPS (Federal Information Processing Standard) 140-2 est un référentiel cryptographique mis au point par l'Institut national américain des normes et de la technologie (NIST) aux États-Unis pour la protection des données sensibles mais non classifiées. Les modules validés comme conformes au référentiel FIPS 140-2 sont acceptés pour les marchés publics par les agences fédérales américaines et canadiennes. Cette certification confirme que la fonctionnalité cryptographique a été testée par un laboratoire indépendant et validée par le programme gouvernemental par rapport aux exigences du référentiel. Les exigences du référentiel FIPS 140-2 ont été adoptées par des secteurs d'activité telles que la finance (secteur des cartes de paiements, Payment Card Industry (PCI)), la santé (loi sur la transférabilité de l'assurance maladie (HIPAA)), le Cloud gouvernemental (FedRAMP), l'armée américaine (interopérabilité des systèmes de commande, Joint Interoperability Test Command (JITC) et les solutions commerciales pour les données classifiées (Commercial Solutions for Classified (CSfC)).

Pour plus d'informations, consultez le site Web relatif aux évaluations de sécurité. Pour obtenir la liste complète des évaluations de sécurité Oracle en cours, ainsi que celles déjà effectuées, consultez la page relative au statut des évaluations de sécurité Oracle.

Les blogs d'évaluation Oracle Security se concentrent principalement sur les certifications, les validations et les programmes d'accréditation gouvernementaux :

  1. Critères communs et l'avenir des évaluations de la sécurité (Mary Ann Davidson)
  2. Améliorer la vitesse des évaluations de produits (Joshua Brickman)
  3. FIPS : The Crypto "Catch 22" (le cercle vicieux du chiffrement) (Joshua Brickman)

Pour toute demande concernant les évaluations de sécurité Oracle, envoyez un email à l'adresse seceval_us@oracle.com.

Avantages des évaluations en termes de sécurité

Vérification indépendante L'évaluation des allégations relatives à la sécurité des produits provient d'établissements d'évaluation agréés certifiés par des programmes gouvernementaux
Mesures d'assurance standard L'évaluation des allégations relatives à la sécurité des produits provient d'établissements d'évaluation agréés certifiés par des programmes gouvernementaux
Améliorations des produits Les évaluations de sécurité peuvent mener à des améliorations de la conception globale et de la mise en œuvre de la sécurité dans les solutions certifiées
Identification des vulnérabilités architecturales Les évaluations de sécurité peuvent mener à l'identification de vulnérabilités architecturales