Cette évaluation n’est pas officielle ; l’état belge n’ayant pas encore adopté de schéma de certification, les entreprises belges sont obligées de recourir à des centres d’évaluation étrangers pour obtenir une certification critères communs. Il s’agit donc de services d’accompagnement à la certification.
Les services proposés à ce stade consistent dans la préparation de profils de protection ou de cible de sécurité et dans une première évaluation des cibles de sécurité. En complément à ces activités, le CETIC propose également des techniques d’analyse de code en vue de réduire les vulnérabilités.
Aide à la définition de profils de protection (PP) : Le CETIC aide les entreprises dans la définition et la rédaction de PP :
- introduction du profil de sécurité,
- définition du problème de sécurité,
- objectifs de sécurité,
- exigences de sécurité.
Aide à la définition de cibles de sécurité : celles-ci sont rédigées à partir des PP et précisent la description des menaces et des objectifs de sécurité du produit à certifier ; elles indiquent aussi comment et jusqu’où on veut évaluer le produit.
Aide à l’évaluation de cibles de sécurité : Le CETIC réalise une évaluation informelle des cibles de sécurité afin d’y identifier les lacunes et problèmes permettant ainsi une revue de la cible avant l’évaluation officielle.
Détection de vulnérabilité : Le CETIC utilise des techniques d’analyse statique de code afin de mettre à jour des vulnérabilités potentielles présentes dans le code de l’applicatif.
