Par Mike Feldman, président, Opérations nord-américaines, Xerox
Il y a environ six ans, le Partenariat national pour l’assurance de l’information (NIAP) a pris la décision inhabituelle de ne plus certifier la conformité de l’imprimante multifonction (MFP) à la norme internationale «Common Criteria for Information Technology Security Evaluation».
Le changement a été surprenant car les organismes gouvernementaux américains sont tenus d’acheter des équipements certifiés conformes à la norme et que NIAP supervise cette certification aux États-Unis.
Mais avec la croissance des menaces de sécurité informatique en nombre et en complexité, le NIAP a décidé de renforcer sa norme de sécurité pour les périphériques papier et a cessé de certifier les MFP jusqu’à ce que sa norme plus rigoureuse soit en place. L’obligation pour les organismes américains d’acheter des produits certifiés conformes aux Critères Communs existait toujours, et les fabricants l’ont rempli en passant par des organismes de certification dans d’autres régions.
Le NIAP avait besoin d’environ trois ans pour développer une norme plus stricte, ce qu’il a fait en collaboration avec l’Agence japonaise de promotion de la technologie (IPA). En septembre 2015, ils ont publié conjointement le nouveau profil de protection de périphérique Hardcopy v1.0 (HCD-PP), qui est maintenant en vigueur au Japon et aux États-Unis.
En novembre 2017, 10 MFP Xerox AltaLink® sont devenues les premières – et encore à ce jour – à recevoir la certification Critères Communs du NIAP pour la nouvelle norme.
« Dans le monde actuel et compte tenu des menaces de sécurité informatique 24/7, il est absolument essentiel de respecter les normes de sécurité les plus strictes, et c’est ce que le NIAP a fait», a déclaré Alan Sukert, spécialiste de la sécurité des produits et qui représente Xerox au NIAP. « C’est pourquoi nous avons fait de la certification NIAP une grande priorité. »
L’avantage de la certification NIAP
La nouvelle norme de sécurité est importante non seulement parce que la plupart des agences gouvernementales américaines font de la conformité une priorité lors de l’examen des offres, mais aussi parce que de nombreuses organisations non gouvernementales soucieuses de la sécurité prennent en compte la certification Critères Communs. Beaucoup de personnes la trouvent très crédible parce qu’elle exige que les laboratoires tiers testent les réclamations des fabricants.
Parmi les agences gouvernementales qui doivent avoir une certification Common Criteria, avoir la certification n’est pas une garantie que les produits Xerox AltaLink seront leur premier choix. Les agences américaines peuvent toujours acheter des appareils certifiés Common Criteria dans d’autres pays, a déclaré Mark Browning, vice-président du secteur public. « Cependant, le NIAP est prioritaire », a-t-il déclaré.
Selon la loi, chaque achat par des agences gouvernementales américaines se fait par appel d’offres, et la plupart tombent dans l’une des deux catégories : les offres techniquement acceptables les moins chères et les meilleurs produits, selon Marie Nelson, vice-présidente du secteur public. «La certification NIAP nous aidera particulièrement dans les meilleurs prix», a-t-elle déclaré.
Sauter sur l’opportunité
Dès le début, l’équipe de Xerox a adopté la nouvelle norme : en tant que participants au programme NIAP, ils ont participé aux premières discussions.
C’était un gros challenge. Au cours de la période d’environ trois ans du projet, environ 100 personnes de Xerox ont contribué à la sécurité des produits, à l’ingénierie, aux essais, à la planification et au marketing des produits, ainsi qu’à plusieurs organismes externes.
Les membres de l’équipe de certification de Common Criteria: De gauche à droite, Mark Sixbey, Mike Trent, Garland Nichols et Zia Masoom figuraient parmi les 100 contributeurs.
Deux zones de développement ont été particulièrement difficiles, a déclaré Sukert. L’un d’entre eux était la cryptologie, qui comporte de nombreuses exigences concernant non seulement le cryptage et la gestion des clés, mais également les processus de création, de mise en cache, de gestion et de destruction des données. L’autre grand défi consistait à répondre à de nombreuses exigences spécifiques sur quatre protocoles sécurisés et à s’assurer que chacun répondait également aux normes du NIST (Institut national des normes et de la technologie) et de l’ISO (Organisation internationale de normalisation).
La certification NIAP a été décernée le 20 novembre 2017 aux 10 produits AltaLink: les AltaLink C8030 / C8035 / C8045 / C8055 / C8070 et les AltaLink B8045 / B8055 / B8065 / B8075 / B8090. Xerox prévoit de qualifier les MFP VersaLink® pour la certification avec une future version logicielle.
« Xerox sera toujours le premier à avoir reçu la certification Common Criteria via le NIAP », a déclaré Sukert. « Et c’est une grande réussite. »