 |
Emploi
|
|
Start-up
|
|
Evénements 01 | |
Avis d'expert | |
Vidéos | |
Indicateurs
|
|
Distribution
|
|
Telecharger Pro
|
|
Livres blancs | |||||||||||||||||||||
Orange décroche une certification de sécurité élevée pour son offre de réseaux privés virtuels
par mail
l'article
Les commerciaux d’Orange Business Services disposent désormais d’un argument supplémentaire pour vendre leur offre IP VPN internationale.
Cette solution, qui permet la création de réseaux privés virtuels partagés entre des entreprises, a en effet obtenu en juillet dernier le label EAL2+ (Evaluation Assurance Level). Mais ce n’est qu’aujourd’hui, à l’occasion du salon Infosecurity qui se déroule les 19 et 20 novembre à la Porte de Versailles, à Paris, que l’opérateur communique sur cette certification. Une certification – reconnue internationalement – qui apporte aussi au client la garantie que la solution a été étudié et certifiée par des experts indépendants. Ce qui ne garantit évidement pas l'inviolabilité du service.
Deux ans pour obtenir la certification
Pour Orange, cette certification a été un travail de longue haleine. Entre le moment où OBS a décidé de faire évaluer sa solution et l’obtention du label, deux ans se sont écoulés.
Cette durée s’explique par deux raisons. Premièrement, le processus de certification. Cette dernière repose sur la norme “ ISO 15408 : Common Criteria for Information Technology Evaluation ”. Elle est délivrée dans sept pays (Allemagne, Australie et Nouvelle-Zélande, Canada, Etats-Unis, France et Grande-Bretagne). D’autres pays (parmi lesquels l’Italie, Israël, le Japon, etc.) n'ont pas de structure de certification mais reconnaissent la validité de ces critères communs.
Les critères ont pour objectif de vérifier l’efficacité des mesures de sécurité développées par une entreprise pour son logiciel (pare-feu, détection d’intrusion), un produit (une carte à puce) ou comme dans le cas d’Orange un réseau privé virtuel.
Cette évaluation est menée par un Cesti (Centre d'évaluation de la sécurité des technologies de l'information) et validée ensuite par un organisme officiel, en l’occurrence la DCSSI (Direction centrale de la sécurité des systèmes d’information).
Comme des pirates
En France, il existe six laboratoires indépendants. “ Nous avons été évalués par le Cesti Silicomp. Il a tout d’abord étudié notre documentation. Ensuite, nous avons mis à sa disposition une plate-forme de tests composée de deux éléments : un réseau virtuel identique à celui d’un client et des outils d’administration (afin de voir si la configuration a bien été faite par exemple) que n’ont pas justement nos clients ”, indique Eric Wiatrowski, Chief Security Officer d’Orange Business Services.
Pour schématiser, le Cesti a joué aux pirates en essayant de pénétrer le réseau en repérant des failles. Coût de cette opération pour Orange : quelque centaines de kilo-euros répartis entre la facture du Cesti et les développements internes d’Orange. Cette certification joue sur la transparence puisque le rapport est public.
La deuxième raison expliquant cette durée de deux ans est la complexité du produit à évaluer. “ Une carte à puce est un périmètre simple et l’évaluation peut se faire en neuf mois. C’est plus complexe pour un parefeu. Les tests peuvent durer 18 mois. Notre évaluation a duré car un réseau est un système plus étendu et nous avons mis du temps à définir ce qu’on appelle la “cible d’évaluation” ”, précise Eric Wiatrowski.
Comme pour le contrôle technique d’une voiture, tout n’est pas testé car cela prendrait trop de temps et beaucoup de véhicules seraient recalés. C’est la même chose avec les produits de sécurité : si le “ paramètre de certification ” est trop large, la certification est difficile à décrocher. S’il est trop réduit, le label obtenu n’est pas représentatif et n’informe pas assez sur le niveau de protection.
01net. - 01men - RMC - BFM Radio - BFM TV - La Tribune - TousLesPodcasts - 01informatique.fr - Association RMC-BFM
