Les processus de gestion et de divulgation des vulnérabilités du système EUCC sont basés sur les normes ISO/IEC 30111 et ISO/IEC 29417. Cependant, comme ces normes ne peuvent pas garantir que la correction développée et déployée n'introduit pas de nouvelles vulnérabilités et ne définit aucune tâche pour un organisme d'évaluation tiers et sa méthodologie, le système EUCC ajoute une méthode de gestion des correctifs afin de combler ces lacunes.
Processus de gestion des correctifs
L'approche de gestion des correctifs du système EUCC commence par la découverte d'une vulnérabilité de cybersécurité non détectée auparavant liée au produit TIC certifié. Un produit peut inclure un mécanisme de gestion des correctifs évalué dans le cadre de sa certification, et il peut être basé sur les conditions définies dans le rapport technique ISO SC27 WG3 sur la gestion des correctifs
« Extension pour la gestion des correctifs pour ISO 15408 et ISO 18045 », ou sur la proposition du groupe de travail 1 de l'ISCI pour de nouveaux composants et packages d'exigences d'assurance de sécurité (SAR) dans CC pour la gestion des correctifs.
En appliquant l'une ou l'autre des méthodes ci-dessus, lors de la certification initiale, le fabricant ou le fournisseur du produit TIC détaillera les processus de correctifs en suivant les exigences de contenu et de présentation du processus de gestion des correctifs accepté, définira les limites de la cible d'évaluation (TOE) lorsque l'architecture de sécurité (ADV_ARC) est incluse, et là où elle ne l'est pas, et enfin détaillera les mécanismes de correctifs en utilisant les unités de travail pertinentes de l'approche répertoriée choisie.
Au cours de la phase de développement de la correction de la gestion des vulnérabilités, le niveau de correctif acceptable (niveau 1, 2 ou 3 avec un flux de mise à jour potentiellement critique) sera défini dans les conditions suivantes :
- Le patch de niveau 1 doit être appliqué lorsque le TOE fait partie d'un produit TIC plus vaste, et les parties du produit n'affectant pas le TOE peuvent être corrigées chaque fois que nécessaire.
- Le patch de niveau 2 doit être appliqué pour les modifications mineures.
- Le Patch Level 3 consiste à appliquer les dispositions déjà existantes, telles que définies par l'Assurance Continuité, pour un changement majeur.
- Le processus de flux de mise à jour critique est un niveau de correctif supplémentaire à appliquer pour les modifications pour lesquelles une attaque peut déjà être exploitée, ou lorsque la mise à jour est critique et doit être publiée de toute urgence.
Si vous souhaitez en savoir plus sur le schéma EUCC et le mécanisme de gestion des correctifs, contactez des experts spécialisés .