Automated Methodology for Common Criteria Certification (AMC3)

Objectifs

La certification de la cybersécurité des logiciels est un processus manuel lent, complexe et coûteux. Ce problème est aggravé dans le cas des mises à jour où une nouvelle version d’un logiciel doit être recertifiée. Cela dissuade les développeurs de logiciels de faire certifier leurs produits, en particulier lorsque la certification n’est pas obligatoire. L’automatisation du processus de certification apparaît comme une approche prometteuse, mais elle soulève de nombreux défis.

Le projet AMC3 a pour objectif de concevoir et prototyper une méthodologie de certification flexible et une plateforme permettant de générer et de mettre à jour automatiquement les preuves, de créer des dossiers d’assurance pour les schémas de certification de produits tels que les Critères Communs (CC). La méthodologie doit pouvoir gérer différents niveaux d’assurance d’évaluation (EAL) afin de répondre à l’ensemble des exigences de sécurité pour des systèmes plus critiques et moins critiques.

Le projet se concentre sur sept objectifs principaux :

1. Automatiser la génération des preuves de certification de cybersécurité au moment de la conception.
2. Automatiser la génération des preuves pour la certification incrémentale des produits de cybersécurité.
3. Automatiser la génération des preuves récoltées lors de l’exécution du système.
4. Automatiser la conservation et l’interrelation des preuves produites par les nombreux outils utilisés lors de la conception et de l’exécution.
5. Automatiser la génération des dossiers d’assurance.
6. Évaluer automatiquement la confiance dans les dossiers d’assurance.
7. Valider la méthodologie AMC3 sur des études de cas industrielles de la Défense belge.

Résultats

Le projet AMC3 produira deux principaux résultats.

Le premier est une méthodologie pour automatiser la certification de cybersécurité basée sur le référentiel CC. Cette méthodologie définira une approche globale, ainsi que les objectifs et principes pour générer des preuves de sécurité, les organiser et construire des dossiers d’assurance. Elle s’appuiera sur des technologies de pointe et tiendra compte des différents niveaux d’assurance CC (EAL).

Le second résultat est une plateforme prototype qui permettra de mettre en pratique la méthodologie AMC3. Cette plateforme sera adaptée au référentiel CC et aux deux études de cas du projet. Elle intègrera des outils DevSecOps pour automatiser les tests de sécurité, la collecte et la curation des preuves. La plateforme permettra de démontrer les avantages de la méthodologie AMC3 et inclura une analyse d’impact automatisée pour la certification incrémentielle.

Valeur ajoutée

Le projet AMC3 vise à révolutionner la certification de cybersécurité des logiciels en la rendant plus efficace, fiable et abordable.

Son impact principal se traduira par :

• Une réduction du temps et des coûts de certification, ainsi qu’une amélioration de la cohérence et de la qualité des processus.
• Une simplification pour les développeurs de logiciels, les encourageant à adopter la certification.
• Un renforcement de la sécurité des logiciels de Défense belge, avec une meilleure confiance dans la sécurité des logiciels et une réduction des risques de cyberattaques.
• Un impact positif sur l’industrie de la certification logicielle, avec le développement de nouvelles technologies et de nouveaux outils, l’amélioration des pratiques et des standards, et la création d’un marché plus sûr et plus fiable.

En résumé, le projet AMC3 permettra d’améliorer la sécurité des logiciels et des systèmes informatiques, tout en réduisant les coûts et en simplifiant le processus de préparation à la certification en cybersécurité.