Présentation
Les niveaux d'assurance CASA permettent de classer la sécurité d'une application en fonction du niveau d'assurance de sa conformité aux exigences CASA. Plus le niveau d'assurance est élevé, plus la confiance est grande que l'application a implémenté les contrôles CASA requis.
Toutes les exigences doivent être respectées pour chaque niveau. La seule différence entre les niveaux est la méthode d'évaluation qui s'applique. Les niveaux d'assurance CASA permettent d'évaluer objectivement la sécurité d'une application. Plus le niveau d'assurance est élevé, plus vous pouvez être sûr que l'application a implémenté les contrôles CASA.
Niveaux
| Niveau | Nom | Heures d'atelier estimées | Description |
|
3
|
Testé en laboratoire – Certifié en laboratoire | 60 | Au cours de cette évaluation, le laboratoire agréé testera et validera toutes les exigences CASA. Il s'agit d'une évaluation complète qui teste l'application, l'infrastructure de déploiement de l'application et tout emplacement de stockage des données utilisateur pour vérifier la conformité avec toutes les exigences CASA (le cas échéant). |
|
2
|
Testé en laboratoire – Certifié en laboratoire | 4 | Le niveau 2 est un niveau d'assurance testé et validé en laboratoire. Les développeurs peuvent choisir de contacter l'un des laboratoires autorisés pour effectuer une évaluation de niveau 2. Consultez la procédure d'évaluation ci-dessous. |
| Testé par les développeurs, validé en laboratoire | 1 | Au cours de cette évaluation, le développeur d'applications analyse son application à l'aide des outils d'analyse recommandés par CASA et fournit le résultat de l'analyse à l'ADA pour validation. | |
|
1
|
Testé par le développeur – Validé par le développeur | 0 | Le niveau d'auto-évaluation n'est pas un niveau d'assurance, car il n'est pas validé. Ce niveau permet au développeur de comprendre l'état de préparation de son application pour l'évaluation CASA. |
Assurance
| Niveau | Application | Infrastructure de déploiement | Stockage de données | Validation |
| Niveau 2 (testé par le développeur, validé en laboratoire) | Testé par le développeur | Attestation du développeur | Attestation du développeur | Laboratoire autorisé certifié |
| Niveau 2 (testé en laboratoire, certifié en laboratoire) | Testé par un laboratoire agréé | Attestation du développeur | Attestation du développeur | Laboratoire autorisé certifié |
| Niveau 3 (testé en laboratoire, vérifié en laboratoire) | Testé par un laboratoire agréé | Testé par un laboratoire agréé | Testé par un laboratoire agréé | Laboratoire autorisé certifié |
Calcul des niveaux
Les niveaux sont calculés et déterminés par les utilisateurs du framework (Google, etc.), et non par le développeur de l'application. CASA recommande les paramètres suivants pour calculer le niveau d'assurance requis pour l'application :
-
Sensibilité des données auxquelles l'application accède. Un coefficient de risque peut être attribué à chaque type de données pour affecter le calcul du niveau.
-
Nombre d'utilisateurs par type de données consultées.
-
Niveau de tolérance au risque de l'entreprise.
-
Indicateurs de risque externes et internes.
Conditions de revalidation
Toutes les applications doivent être revalidées chaque année. Le niveau de l'application peut passer à un niveau supérieur.
