RELIANOID Conformité à la norme ISO/IEC 15408 (Critères communs)

Dernière révision : Septembre 2025
Prochaine révision prévue : Septembre 2026

Déclaration de conformité ISO/IEC 15408

Alignement de sécurité des critères communs pour RELIANOID Équilibreur de charge et organisation

RELIANOID est aligné sur les principes de ISO/IEC 15408:2022 , egalement connu sous le nom Critères communs pour l'évaluation de la sécurité des technologies de l'information (CC)Cette norme reconnue à l'échelle internationale permet une évaluation structurée des propriétés de sécurité des produits informatiques et est souvent requise dans les marchés publics et les marchés d'infrastructures critiques.

Si RELIANOID n'a pas subi de certification formelle selon les Critères Communs, notre contrôles organisationnels et architecture de la plateforme d'équilibrage de charge sont fortement alignés sur la Principes du niveau d'assurance d'évaluation des critères communs (EAL), en particulier dans le contexte des déploiements cloud et sur site dans des environnements à haute assurance.

Qu'est-ce que l'ISO / CEI 15408?

La norme ISO/IEC 15408 fournit un cadre pour évaluer la sécurité des produits informatiques à travers :

  • Exigences fonctionnelles de sécurité (SFR) – les caractéristiques et les protections qu’un produit offre
  • Exigences en matière d'assurance de sécurité (SAR) – les preuves et les processus démontrant comment ces fonctionnalités sont mises en œuvre en toute sécurité

Il est largement adopté par agences nationales de cybersécurité et secteurs réglementés tels que la défense, l’énergie, la finance et les marchés publics.

Portée du produit et cible d'évaluation (TOE)

Le TOE englobe tout RELIANOID Composants d'entreprise :

  • Composants: Appareils matériels, plateforme logicielle et interfaces de gestion (interface utilisateur Web, CLI, API).
  • Cycle de vie LTS : Toutes les versions Entreprise bénéficient d'un support à long terme. Version majeure actuelle : v8 (pris en charge jusqu'à Juin 2029).
  • Système opérateur: Rat de bibliothèque Debian.
  • Modèles de déploiement : Principalement sur site ; également pris en charge dans les environnements cloud et hybrides.
  • Topologies : Autonome, en cluster et en mode double avec reprise après sinistre (DR).

Alignement organisationnel avec des critères communs

RELIANOID suit les principes clés d'assurance et de cycle de vie de la norme ISO/IEC 15408 dans nos pratiques internes de développement, de déploiement et d'exploitation.

Modèle de cible et de menace de sécurité

Nous maintenons un système interne Document cible de sécurité aligné sur la structure des Critères Communs, définissant :

  • Actifs protégés (par exemple, trafic réseau, configurations, informations d'identification)
  • Menaces traitées (par exemple, escalade de privilèges, attaque de l'homme du milieu, accès non autorisé)
  • Hypothèses et considérations environnementales (par exemple, placement sécurisé du réseau)

Contrôles de conception et de développement

Notre cycle de vie de développement logiciel sécurisé (SSDLC) comprend :

  • Tests de sécurité automatisés quotidiens (SAST, DAST)
  • Analyse des vulnérabilités des bibliothèques tierces
  • Contrôle formel des modifications et documentation des versions
  • Signature de code et contrôles d'intégrité des versions

Cartographie des exigences fonctionnelles de sécurité (SFR)

RELIANOID Load Balancer implémente un large ensemble de contrôles équivalents à SFR, notamment :

  • Identification et authentification (FIA) : Les utilisateurs s'authentifient via des mots de passe, des paires de clés ou l'authentification unique (SSO). L'accès à l'API s'effectue par utilisateur grâce à des jetons générés ; toutes les interfaces prennent en charge les flux d'authentification sécurisés.
  • Contrôle d'accès (AC/FMT/FDP) : Le contrôle d'accès basé sur les rôles est appliqué à tous les composants et interfaces (Web, CLI, API), y compris les contrôles par objet sur les services d'équilibrage de charge.
  • Audit et Responsabilité (FAU) : Les journaux d'audit et système sont stockés par défaut pendant 7 jours et peuvent être exportés ou intégrés aux plateformes SIEM.
  • Support cryptographique (FCS) : Cryptographie robuste avec clés de grande longueur. TLS v1.2 ou supérieur par défaut (TLS v1.3 de préférence). Les protocoles/chiffres hérités sont désactivés par défaut et peuvent être activés manuellement si nécessaire. Modules optionnels validés FIPS 140.
  • Protection des données des utilisateurs (FDP) : Les données utilisateur ne sont stockées que lorsque cela est nécessaire et sont toujours cryptées au repos (par exemple, les utilisateurs et les mots de passe).
  • Gestion de la sécurité (FMT) : L'utilisateur root est le compte administrateur principal. Des utilisateurs, groupes et autorisations supplémentaires sont configurables via le module RBAC.
  • Protection des fonctions de sécurité du TOE (FPT) : Le démarrage sécurisé, les modules de noyau signés et l'accès au référentiel protégé par GPG sont implémentés.
  • Protection des communications (FTP/FTA) : Toutes les communications sont cryptées ; la gestion des sessions inclut les contrôles d’expiration et de réauthentification.

Alignement des exigences en matière d'assurance de sécurité (SAR)

  • Conception et documentation : La documentation interne (modules, schémas d'architecture) est disponible dans notre .
  • Examens et analyses de codes : Analyse de code automatisée et assistée par l'IA avec des examens manuels par les pairs.
  • Gestion des vulnérabilités: Analyses hebdomadaires des vulnérabilités, rapports trimestriels et versions de correctifs suivis par CVE publiés dans notre calendrier.
  • Tests indépendants : Tests de pénétration et analyses externes aux niveaux des applications, du réseau et de l'infrastructure.
  • Tests formels : Tests de sécurité automatisés quotidiens avec une couverture étendue à chaque cycle de publication.

Processus de développement et de maintenance

  • SSDLC : Exigences → Conception → Implémentation → Tests → Validation → Amélioration continue. Géré avec Git, Gitea et des outils d'automatisation internes.
  • Gestion des changements et de la configuration : Flux de travail d'approbation, procédures de restauration et documentation des modifications appliquées dans tous les environnements.
  • Gestion des versions: Les mises à jour sont empaquetées, testées et distribuées de manière sécurisée. Une validation de pré-production est effectuée avant la promotion vers les dépôts de production.

Sécurité opérationnelle

  • Réponse à l'incident: Procédures d'escalade et de résolution définies avec un temps de réponse moyen d'environ 2 minutes.
  • Surveillance: Mesures en temps réel avec systèmes intégrés de détection et de prévention des intrusions. Les renseignements sur les menaces sont partagés avec les plateformes communautaires et sectorielles.
  • Sauvegarde et reprise après sinistre : Sauvegardes cryptées hebdomadaires avec tests de restauration mensuels.

Utilisation dans des environnements réglementés et certifiés

Bien que non officiellement certifié, RELIANOID les soutiens:

  • Intégration dans les systèmes évalués selon les Critères communs
  • Évaluations des achats des clients dans les environnements axés sur l'EAL
  • Documentation structurée alignée sur les schémas nationaux (par exemple, CCN-STIC, NIAP, BSI TR)

Mesures d'assurance et preuves

Pour soutenir les objectifs d’assurance conformes aux Critères Communs, nous fournissons :

  • Notes de publication avec journaux des modifications détaillés
  • Documentation de conception de sécurité axée sur les menaces
  • Rapports d'analyse de vulnérabilité et de correctifs archivés
  • Guides de déploiement sécurisé et listes de contrôle de renforcement

Alignement organisationnel

  • Gouvernance de la sécurité : Équipe de conformité de sécurité dirigée par le PDG, le CTO et le COO garantissant un développement sécurisé, des processus et un alignement de la conformité.
  • Formation à la sécurité des employés : Séances de formation trimestrielles et sensibilisation continue aux menaces de l'industrie.
  • Audits de sécurité interne : Audits trimestriels avec suivi des mesures correctives. Les rapports sont accessibles au public.
  • Autres Conditions Politiques publiées couvrant la confidentialité, la réponse aux incidents, la continuité des activités, la séparation globale des données, les risques liés aux tiers, le contrôle d'accès, l'utilisation acceptable et le traitement des données.

Preuve à l'appui

  • Actualités RELIANOID Rapport de sécurité : Confirmé comme étant la version la plus à jour.
  • Base de connaissances: Livres blancs, fiches techniques et diagrammes d'architecture mis à jour : .
  • Déclarations d'assurance client : Déclarations publiées pour les industries réglementées, alignées sur l’évolution des réglementations en matière de cybersécurité.

Engagement envers les principes des Critères communs

RELIANOID est engagé à:

  • Aligner le développement de nouvelles fonctionnalités avec la méthodologie de conception des critères communs
  • Soutenir les efforts d'évaluation menés par les clients
  • Maintenir un environnement de développement sécurisé et conscient des menaces
  • Assurer la transparence et l'intégrité tout au long du cycle de vie du produit

Examens de documents

DateCommentaires
10ème Juillet 2025Publication initiale de l'alignement de conformité à la norme ISO/IEC 15408
2nd Septembre 2025Portée élargie du TOE, cartographie SFR mise à jour, alignement SAR, détails SSDLC et Ops, gouvernance organisationnelle et preuves à l'appui

Contact et assurance

Nous acceptons les demandes de documents d’évaluation technique, de résumés d’objectifs de sécurité ou de soutien aux projets d’approvisionnement des critères communs.

Contactez notre équipe Conformité et Sécurité

Télécharger le dernier rapport de sécurité