TR7 a obtenu avec succès la certification Common Criteria EAL 4+ (Niveau d'Assurance d'Évaluation 4 Augmenté) suite à une rigoureuse évaluation de sécurité indépendante. Cette certification valide l'architecture de sécurité et la mise en œuvre de TR7 par rapport aux normes pratiques les plus élevées pour les produits commerciaux.
Ce que cela signifie pour votre organisation
Lors de la sélection d'une infrastructure de sécurité pour des déploiements d'entreprise ou gouvernementaux, comment vérifier que les allégations de sécurité d'un produit sont réellement vraies ? Les supports marketing et les assertions des fournisseurs ne suffisent pas. C'est là que la certification indépendante devient essentielle.
Common Criteria (ISO/IEC 15408) est le cadre internationalement reconnu pour l'évaluation des produits de sécurité informatique. La certification EAL 4+ de TR7 signifie que nos fonctionnalités de sécurité ont été vérifiées de manière indépendante par l'analyse du code source, l'examen de la documentation de conception et des tests de pénétration complets par des laboratoires accrédités.
Pour les organisations nécessitant une assurance de sécurité démontrable—que ce soit pour la conformité, les contrats gouvernementaux ou les politiques de sécurité internes—EAL 4+ fournit les preuves dont vous avez besoin.
Reconnaissance mondiale en un coup d'œil
La certification EAL 4+ fournit une reconnaissance internationale par le biais d'accords de reconnaissance mutuelle, éliminant le besoin de certification pays par pays.
Reconnaissance mutuelle complète dans le cadre de l'Arrangement de Reconnaissance des Critères Communs
Portail Common CriteriaNiveau pratique le plus élevé pour les produits commerciaux
Critères d'évaluation acceptés mondialement
Comprendre les niveaux EAL
Common Criteria définit sept Niveaux d'Assurance d'Évaluation (EAL 1-7), chacun représentant une rigueur croissante dans l'évaluation de sécurité :
| Niveau | Nom | Caractéristiques clés | Utilisation typique |
|---|---|---|---|
| EAL 1 | Testé fonctionnellement | Tests fonctionnels de base | Produits commerciaux à faible risque |
| EAL 2 | Testé structurellement | Analyse structurelle, examen des tests développeur | Produits commerciaux standard |
| EAL 3 | Testé méthodiquement | Tests systématiques, gestion de configuration | Environnements de sécurité modérée |
| EAL 4 | Conçu, testé et examiné méthodiquement | Examen du code source, tests indépendants | Produits commerciaux haute sécurité |
| EAL 4+ | Augmenté (TR7) | EAL 4 plus composants d'assurance supplémentaires | Gouvernement et infrastructure critique |
| EAL 5-7 | Vérifié semi-formellement/formellement | Preuves mathématiques, méthodes formelles | Systèmes militaires, de renseignement |
Ce que comprend l'évaluation EAL 4+
EAL 4+ va bien au-delà des tests de base. Voici ce que comprend le processus d'évaluation :
Analyse du code source
Les laboratoires indépendants examinent le code source réel, pas seulement la documentation. Les fonctions critiques pour la sécurité sont analysées pour vérifier l'exactitude de l'implémentation et les vulnérabilités potentielles.
Tests de pénétration indépendants
Les évaluateurs effectuent leurs propres tests de pénétration basés sur les informations de vulnérabilité accessibles au public. Ils ne se fient pas uniquement aux résultats de tests fournis par le fournisseur.
Examen de la documentation de conception
La documentation complète de l'architecture de sécurité est examinée, y compris les modèles de menaces, l'application de la politique de sécurité et les interfaces de modules.
Gestion de configuration
Les contrôles du cycle de vie de développement sont vérifiés, y compris le contrôle de version, les processus de construction et les mécanismes de livraison sécurisés.
CCRA : Reconnaissance dans 31 pays
L'Arrangement de Reconnaissance des Critères Communs (CCRA) est l'accord international principal pour la reconnaissance mutuelle des certificats de sécurité informatique. Initialement signé en 1998 par le Canada, la France, l'Allemagne, le Royaume-Uni et les États-Unis, le CCRA s'est étendu pour inclure 31 nations membres sur tous les continents.
Dans le cadre du CCRA, un produit certifié dans un pays membre est reconnu dans tous les autres pays membres sans nécessiter d'évaluation supplémentaire. Cela élimine le coût prohibitif et le temps d'obtention de certifications séparées pour chaque marché.
Les pays membres du CCRA incluent les principaux marchés : États-Unis, Canada, Royaume-Uni, Allemagne, France, Australie, Japon, Corée du Sud, Inde, Singapour et bien d'autres. Pour les organisations opérant à l'international, cela signifie que la certification de TR7 est valable partout où vous déployez.
SOG-IS MRA : Reconnaissance européenne complète jusqu'à EAL 4+
Pour les déploiements européens, l'Accord de Reconnaissance Mutuelle du Groupe des Hauts Responsables pour la Sécurité des Systèmes d'Information (SOG-IS MRA) fournit une couche supplémentaire de reconnaissance. Contrairement au CCRA, qui ne fournit une reconnaissance mutuelle complète que jusqu'à EAL 2 pour les nouveaux certificats, le SOG-IS MRA fournit une reconnaissance mutuelle complète jusqu'à EAL 4+.
Les signataires du SOG-IS MRA comprennent la France (ANSSI), l'Allemagne (BSI), l'Autriche, l'Espagne, la Finlande, l'Italie, les Pays-Bas, la Norvège, la Suède et le Royaume-Uni. Cela signifie que la certification EAL 4+ de TR7 est pleinement reconnue dans les environnements de sécurité les plus exigeants d'Europe.
Pour les organisations nécessitant des produits pour les institutions de l'UE, les contrats gouvernementaux européens ou les entreprises dont le siège est dans l'UE avec des politiques de sécurité strictes, la reconnaissance SOG-IS MRA est souvent une exigence.
Où EAL 4+ compte le plus
Gouvernement et défense
- Agences fédérales américaines (alignement FedRAMP)
- Déploiements des pays membres de l'OTAN
- Exigences de sécurité des institutions de l'UE
- Protection des infrastructures critiques nationales
Services financiers
- Conformité réglementaire bancaire
- Infrastructure de traitement des paiements
- Sécurité des plateformes de trading
- Protection des données d'assurance
Santé et sciences de la vie
- Protection des données patients (HIPAA)
- Connectivité des dispositifs médicaux
- Sécurité des données d'essais cliniques
- Protection de la propriété intellectuelle pharmaceutique
Alignement avec les cadres de conformité
La certification EAL 4+ soutient et renforce la conformité avec d'autres cadres de sécurité majeurs :
PCI DSS v4.0
L'exigence 6.4.2 impose la protection WAF automatisée. L'utilisation d'un WAF certifié EAL 4+ fournit des preuves de l'efficacité des contrôles de sécurité lors des audits QSA.
Cadre de cybersécurité NIST
L'évaluation Common Criteria s'aligne avec l'accent mis par le NIST CSF sur l'utilisation de produits avec des propriétés de sécurité vérifiées dans la fonction de protection.
ISO 27001
Les produits certifiés EAL 4+ fournissent des preuves documentées pour les contrôles de l'Annexe A liés à l'acquisition, au développement et à la maintenance des systèmes.
SOC 2
L'utilisation de produits de sécurité certifiés indépendamment soutient les critères communs pour la sécurité, démontrant la diligence raisonnable dans la sélection des fournisseurs.
De nombreux fournisseurs affirment que leurs produits sont « sécurisés » ou « prêts pour l'entreprise », mais peu d'entre eux subissent l'évaluation indépendante rigoureuse requise pour la certification Common Criteria. EAL 4+ n'est pas une auto-évaluation ou une liste de contrôle—elle nécessite des mois d'évaluation par des laboratoires accrédités avec un accès complet au code source et à la documentation de conception. Lors de l'évaluation des fournisseurs de sécurité, demandez : « Votre produit est-il certifié Common Criteria, et à quel niveau ? »
Capacités de sécurité certifiées de TR7
La certification EAL 4+ de TR7 couvre la plateforme ADC complète, incluant :
Pare-feu d'application Web
Protection OWASP Top 10 et sécurité API avec capacités de détection et de blocage vérifiées indépendamment.
Livraison d'application
Équilibrage de charge et gestion du trafic avec contrôles de sécurité certifiés pour la gestion de session et la terminaison SSL/TLS.
Gestion des accès
Mécanismes d'authentification, d'autorisation et de contrôle d'accès vérifiés par rapport aux exigences fonctionnelles de sécurité.
Surveillance de la sécurité
Journalisation d'audit, alertes et gestion des événements de sécurité avec protection d'intégrité certifiée.
Questions fréquemment posées
L'évaluation EAL 4+ prend généralement 12 à 18 mois de l'initiation à la certification. Cela comprend la préparation de la documentation, les tests en laboratoire et l'examen du schéma gouvernemental. Le calendrier rigoureux reflète la profondeur de l'analyse requise.
Les exigences varient selon le pays et l'agence. Dans de nombreux cas, EAL 4 ou supérieur est requis pour les produits traitant des informations classifiées ou sensibles. Même lorsqu'elle n'est pas obligatoire, la certification EAL 4+ est souvent un facteur différenciant dans les évaluations d'approvisionnement gouvernemental.
Le CCRA fournit une reconnaissance mutuelle entre 31 pays, avec une reconnaissance obligatoire jusqu'à EAL 2 pour les nouveaux certificats. Le SOG-IS MRA est un accord européen fournissant une reconnaissance mutuelle complète jusqu'à EAL 4+ entre 17 nations membres. La certification de TR7 est reconnue dans le cadre des deux accords.
La certification fournit l'assurance que les fonctionnalités de sécurité fonctionnent comme documenté et ont été testées contre des modèles d'attaque connus. Elle ne garantit pas qu'un produit est invulnérable—aucun produit ne l'est. Cependant, elle démontre que la sécurité a été systématiquement conçue, mise en œuvre et vérifiée par des experts indépendants.
Les certifications Common Criteria sont spécifiques à une version. TR7 maintient la certification par un processus de gestion des changements rigoureux, avec des mises à jour liées à la sécurité évaluées par des procédures de continuité d'assurance pour garantir une conformité continue.
Conclusion
La certification Common Criteria EAL 4+ de TR7 représente un investissement important dans la sécurité démontrable. Pour les organisations qui nécessitent plus que des allégations marketing—que ce soit en raison d'exigences réglementaires, de contrats gouvernementaux ou de politiques de sécurité internes—cette certification fournit une vérification indépendante que l'architecture de sécurité et la mise en œuvre de TR7 répondent aux normes pratiques les plus élevées.
Avec une reconnaissance dans 31 pays du CCRA et une reconnaissance EAL 4+ complète dans le cadre du SOG-IS MRA en Europe, TR7 fournit une solution de sécurité déployable mondialement soutenue par une certification internationalement reconnue. Lorsque l'assurance de sécurité compte, choisissez un fournisseur qui peut le prouver.
Sécurité certifiée pour votre entreprise
Découvrez comment la plateforme ADC certifiée EAL 4+ de TR7 peut répondre aux exigences de sécurité et de conformité de votre organisation. Notre équipe peut fournir la documentation de certification et discuter de scénarios de déploiement spécifiques.
Contactez notre équipe