L’utilisation de Linux en tant que système d'exploitation flexible, transparent et hautement sécurisé semble de plus en plus devenir un choix de premier plan au sein d'entreprises,d'institutions d'enseignement et de secteurs gouvernementaux. Avec des préoccupations de sécurité nationale qui ont atteint un niveau record aux États-Unis, il semble que la mise en œuvre de Linux pourrait effectivement répondre aux besoins critiques du gouvernement américain en matière de sécurité pour le développement et les installations d'applications.En raison de ses racines open source, Linux est considéré fondamentalement comme étant sécurisé, fiable et incroyablement adaptable. Linux intègre une approche de « défense en profondeur » de la sécurité, ce qui signifie que des mesures de sécurité robustes sont mises en œuvre à tous les niveaux de développement et de déploiement. Notons que Linux met l'accent sur la sécurité par la transparence.
Pour être approuvés pour une utilisation dans des fonctions gouvernementales essentielles, les logiciels et applications doivent être certifiés pour garantir qu'ils répondent à certaines normes de sécurité. Common Criteria, FIPS 140-2 et Secure Technical Implementation Guidelines (STIG) sont trois certifications de sécurité requises par le Département de la Défense des États-Unis. Ces certifications indiquent que la technologie répond aux protocoles de sécurité normalisés et que les outils cryptographiques implémentent correctement leurs algorithmes. Linux a été certifié pour répondre à tous ces critères.
[LIST][*]Common Criteria : les critères communs (CC) sont un ensemble de normes (ISO 15408) internationalement reconnu dont l'objectif est d'évaluer de façon impartiale la sécurité des systèmes et des logiciels informatiques. Également dénommé Common Criteria, ce référentiel est né d'un partenariat entre le Canada, les États-Unis et l'Europe. Grâce au cadre offert, les utilisateurs de technologies de l’information vont pouvoir utiliser des profils de protection pour spécifier les exigences fonctionnelles de sécurité attendues et les évaluateurs pourront vérifier que les produits sont bien conformes au niveau d’assurance requis.
La mise en œuvre des Critères Communs décidée par les signataires d’un accord de reconnaissance mutuelle facilite grandement l’acceptation des certificats de sécurité des technologies de l’information émis par l’un des pays signataires. Le produit certifié en toute impartialité par une autorité compétente peut être utilisé sans nécessiter une évaluation plus poussée.
Bien que présentant de nombreux avantages, l’application de cette norme s’avère coûteuse, difficilement compréhensible pour un non initié et souvent compliquée à mettre en œuvre. C’est la raison pour laquelle plusieurs méthodes d’utilisation ont vu le jour.
[*]FIPS : FIPS (Federal Information Processing Standard) 140-2 est une norme établie par le gouvernement des États-Unis relative au chiffrement et aux conditions de sécurité à respecter dans la conception des produits informatiques destinés à traiter des données sensibles, mais non confidentielles. Cette norme vise à garantir que les produits mettent en œuvre des pratiques de sécurité saines, à savoir des méthodes et des algorithmes de chiffrement puissants et approuvés. Elle précise également comment autoriser des personnes et des processus à utiliser le produit et comment concevoir les modules et les composants de manière à sécuriser leurs interactions avec d’autres systèmes. La norme FIPS 140-2 s’applique à tout produit susceptible de stocker ou de transmettre des données sensibles. Cela inclut des matériels tels que périphériques de cryptage des liens, disques durs, disques Flash ou autres supports de stockage amovibles. Les logiciels qui chiffrent les données transmises ou stockées y sont également inclus.
[*]Secure Technical Implementation Guidelines (STIG) : Il s'agit d'une méthodologie de cybersécurité pour normaliser les protocoles de sécurité au sein des réseaux, des serveurs, des ordinateurs et des conceptions logiques afin d'améliorer la sécurité globale. Une fois mis en œuvre, ces guides améliorent la sécurité des architectures logicielles, matérielles, physiques et logiques afin de réduire davantage les vulnérabilités.
La configuration d'un ordinateur de bureau ou d'un serveur d'entreprise est un exemple où les STIG seraient utiles. La plupart des systèmes d'exploitation ne sont pas intrinsèquement sécurisés, ce qui les laisse ouverts aux criminels tels que les voleurs d...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par pmithrandir
dans la maintenance, l'administration (et et la formation des utilisateurs (puisque quasiment toutes les catastrophes arrivent par eux), ça deviendra une passoire dans le temps.
