Profil de protection

Un profil de protection (en anglais, protection profile, ou PP) est un document dans le domaine de la sécurité des systèmes d'information. Ce document définit un ensemble d'objectifs et d'exigences de sécurité, indépendant de l'implémentation, pour une catégorie de produits qui couvre des besoins de sécurité communs à plusieurs utilisateurs. Les profils de protection sont réutilisables et normalement publics.

Un profil de protection est une partie du processus d'évaluation du standard des Critères communs (CC).

Objectif

Un profil de protection énonce un problème de sécurité rigoureusement pour un ensemble donné de systèmes ou de produits, identifiés sous le nom de « objet à certifier » (Target of Evaluation, ou TOE) et pour spécifier les besoins de sécurité en vue de résoudre ce problème sans imposer comment ces besoins seront mis en œuvre.

Les fournisseurs de produits peuvent choisir de mettre en œuvre des produits qui se conforment à un ou plusieurs profils de protection, et font évaluer leurs produits en fonction de ceux-ci. Dans un tel cas, un profil de protection peut servir de modèle pour la « cible de sécurité » (Security Target, ou ST) du produit. Les fournisseurs de produit peuvent répondre aux préoccupations de sécurité définies par un profil de protection en produisant une cible de sécurité, qui est similaire à un profil de protection, à l'exception du fait qu'il contient des informations spécifiques pour la mise en œuvre qui démontrent comment leur produit répond aux besoins de sécurité.

Aux États-Unis

La certification CC est quelquefois exigée pour des investissements en technologie de l'information.

Aux États-Unis, le National Institute of Standards and Technology (NIST) et la National Security Agency (NSA) sont convenus de coopérer pour le développement de profils de protection validés par le gouvernement fédéral.

En particulier, la société MITRE, qui est fournisseur du département de la Défense, a développé en 1998 une méthodologie de sécurité des systèmes d'information, avec un profil de protection adapté aux infrastructures aérospatiales : NIMS protection profile (où NIMS signifie NAS (National Airspace System) Infrastructure Management System).

Il existe aussi bien d'autres profils de protection dans d'autres domaines, notamment la signature électronique.

En Europe

(à compléter)

Articles connexes

• Critères communs
• Politique de sécurité des systèmes d'information
• Sécurité des données
• Sécurité des systèmes d'information

Liens externes

• (fr) ANSSI : Liste des produits certifiés en France
• (en) NIAP Protection Profiles
• (en) Computer Security Act of 1987

•   Portail de la sécurité informatique
•   Portail de la sécurité de l’information