Hiérarchisation CASA

Présentation

Les niveaux d'assurance CASA permettent de classer la sécurité d'une application en fonction du niveau d'assurance que celle-ci est conforme aux exigences de la CASA. Plus le niveau d'assurance est élevé, plus l'application a mis en œuvre les contrôles CASA requis.

Toutes les exigences doivent être satisfaites pour chaque niveau. La seule différence entre les niveaux est la méthode d'évaluation qui s'applique. Les niveaux d'assurance CASA permettent d'évaluer objectivement la sécurité d'une application. Plus le niveau d'assurance est élevé, plus l'application a mis en œuvre les contrôles CASA.

Niveaux

Niveau Nom Estimation des heures de laboratoire Description
3
Atelier testé : atelier validé 60 Au cours de cette évaluation, l'atelier autorisé testera et validera toutes les exigences du programme CASA. Il s'agit d'une évaluation complète qui teste l'application, l'infrastructure de déploiement de l'application et l'emplacement de stockage des données utilisateur pour vérifier qu'ils respectent toutes les exigences du CASA (le cas échéant).
2
Atelier testé : atelier validé 4 Le niveau 2 est associé à un niveau d'assurance testé et validé par un atelier. Les développeurs peuvent demander à contacter l'un des ateliers autorisés pour passer une évaluation de niveau 2. Consultez le processus d'évaluation ci-dessous.
Développeur testé – Atelier validé 1 Au cours de cette évaluation, le développeur de l'application analyse l'application à l'aide des outils d'analyse recommandés de la CASA et fournit le résultat de l'analyse au CDA pour validation.
1
Testé par le développeur – Développeur validé 0 Le niveau d'auto-évaluation n'est pas un niveau d'assurance, car il n'est pas validé. Ce niveau permet au développeur de comprendre si son application est prête à être évaluée par le CASA

Assurance

Niveau Application Infrastructure de déploiement Stockage de données Validation
Niveau 2 (testé par le développeur – Atelier validé) Testé par le développeur Attestation de développeur Attestation de développeur Atelier autorisé validé
Niveau 2 (atelier testé – atelier validé) Atelier autorisé testé Attestation de développeur Attestation de développeur Atelier autorisé validé
Niveau 3 (atelier testé – atelier validé) Atelier autorisé testé Atelier autorisé testé Atelier autorisé testé Atelier autorisé validé

Calcul des niveaux

Les utilisateurs du framework (Google..etc.), et non le développeur de l'application, calculent et déterminent les niveaux. CASA recommande les paramètres suivants pour calculer le niveau d'assurance requis pour l'application:

  1. Sensibilité des données auxquelles l'application accède Une pondération des risques peut être attribuée à chaque type de données pour affecter le calcul du niveau.

  2. Quantité d'utilisateurs par type de données consulté.

  3. Niveau de tolérance au risque de l'entreprise.

  4. Indicateurs de risque externes et internes

Exigences de revalidation

Toutes les demandes doivent être revalidées chaque année. Le niveau d'application peut passer à un niveau supérieur.

Flux de revalidation CASA