Posted on Author admins

Les Critères communs (CC) consistent en un programme international dans le cadre duquel des laboratoires d’essais agréés mettent à l’essai des produits TI en fonction de spécifications en matière de cybersécurité liées à des classes de technologies. Conformément à l’Arrangement relatif à la reconnaissance des certificats liés aux Critères communs (en anglais seulement), tous les pays membres consentent à reconnaître les certificats liés aux Critères communs des autres pays, ce qui permet aux développeurs d’accéder au marché mondial peu importe le pays où leur produit est certifié.

Les développeurs embauchent un laboratoire d’essais pour évaluer leur produit à l’égard d’une spécification de sécurité conçue par une communauté technique. Ce laboratoire d’essais réalise ses activités d’évaluation en vertu d’un organisme de certification national chargé du contrôle technique des évaluations et de la publication des résultats de ces évaluations, lesquels sont reconnus à l’échelle internationale.

Le Centre pour la cybersécurité gère le Programme canadien lié aux Critères communs qui vise à certifier les produits.

Le Centre pour la cybersécurité recommande d’acheter et de déployer des produits certifiés selon les CC pour les raisons suivantes :

  1. Des laboratoires de cybersécurité agréés vérifient de façon indépendante les allégations de sécurité
  2. La méthodologie et les spécifications sont élaborées selon une approche collaborative
  3. Un large éventail de produits certifiés est offert
  4. L’utilisation de produits certifiés réduit les risques de compromission

Liste des produits :

  • Pour les développeurs

    Pour faire certifier un produit selon les Critères communs, les développeurs doivent communiquer avec l’un des laboratoires d’essais sous l’égide du Programme canadien lié aux Critères communs aux fins d’évaluation du produit.

  • Pour les architectes de système

    Le Centre pour la cybersécurité recommande de choisir des produits TI certifiés selon les Critères communs (en anglais seulement) au moment de concevoir un service ou un réseau. L’utilisation de produits certifiés comme des coupe-feux, des systèmes de détection et de prévention d’intrusion ainsi que des systèmes d’exploitation permet d’atténuer les risques dans une architecture réseau. Les détails concernant les éléments évalués sont énoncés dans la cible de sécurité et dans le rapport de certification du produit.

    Le Centre pour la cybersécurité recommande aux architectes de système d’aligner leurs besoins sur les profils de protection existants.

    Un profil de protection consiste en un ensemble d’exigences de base en matière de sécurité pour une classe de technologies. L’évaluation d’un produit par rapport à un profil de protection comprend les fonctionnalités de sécurité requises de même que les menaces de sécurité connues.

    Le Centre pour la cybersécurité reconnaît la liste des profils de protection (en anglais seulement) et la liste des profils de protection collaboratifs (en anglais seulement) sur le portail des Critères communs. Pour les profils de protection qui sont affichés ailleurs, veuillez communiquer avec le Centre pour la cybersécurité.

  • Pour les acheteurs

    Les produits certifiés selon les Critères communs fournissent un niveau supérieur d’assurance en ce qui a trait à la cybersécurité du produit. Le Centre pour la cybersécurité considère que les produits certifiés selon les Critères communs sont des produits qui offrent des fonctionnalités de sécurité importantes à un environnement TI. Les détails concernant les éléments évalués sont énoncés dans la cible de sécurité et dans le rapport de certification du produit.

    Avant d’acheter un produit TI qui est annoncé comme étant certifié selon les Critères communs, le Centre pour la cybersécurité recommande que les organisations obtiennent une copie du certificat lié aux Critères communs et valident ce certificat en le comparant à la liste internationale des produits certifiés (en anglais seulement).

    Si un produit ne figure pas dans la liste internationale, veuillez consulter également la liste des produits certifiés du Centre pour la cybersécurité, laquelle contient tous les produits certifiés par le Centre pour la cybersécurité de même que les produits en cours d’évaluation.

  • Publications

  • Centres d’évaluation

    Les centres d’évaluation selon les Critères communs sont des laboratoires d’essais de la sécurité des TI qui ont obtenu l’accréditation selon les prescriptions du Guide ISO/IEC 17025:2005 et répondent aux exigences du Schéma canadien lié aux critères communs (SCCC) relatives à la conduite d’évaluations de la sécurité des TI aux fins de conformité aux Critères communs pour l’évaluation de la sécurité des technologies de l’information.

    Voici les organisations qui sont agréées actuellement pour effectuer les évaluations selon les Critères communs dans le cadre du Programme canadien lié aux Critères communs :

  • Liens importants

  • Glossaire
    Cible de sécurité (Security Target)
    Document qui décrit la façon dont un produit répond à un ensemble d’exigences de sécurité définies.
    Rapport de certification (Certification Report)
    Document produit par un organisme de certification qui décrit en détail les résultats d’une évaluation selon les Critères communs.
    Profil de protection (Protection Profile)
    Document qui définit les exigences de sécurité pour une classe précise de cyberproduits (p. ex. coupe-feux réseau).

    Nouvelles/bulletins
    • 2022

      • 20 décembre 2022 | Nouvelle version du guide destiné aux responsables des évaluations

        À la suite d’une vaste collaboration interne et de consultations avec les laboratoires d’essais de même qu’avec les partenaires de l’industrie, le document intitulé Guidance for Evaluators v5.0 a été diffusé aux laboratoires d’essais. Cette version comprend un processus actualisé d’analyse des vulnérabilités, des clarifications sur l’équivalence cryptographique, des exigences révisées relatives à l’échantillonnage et aux essais de régression, des mises à jour visant à refléter le cours en ligne pour les responsables des évaluations, ainsi que des conseils pour relier plusieurs évaluations entre elles. Cette publication remplace toutes les versions publiées précédemment.

      • 21 novembre 2022 | Publication de la nouvelle version des Critères communs pour l’évaluation de la sécurité des technologies de l’information

        La révision 1 de 2022 du document Common Criteria for Information Technology Security Evalution (CC:2022 Release 1 a été publiée et peut être téléchargée sur la page des publications du portail des Critères communs (en anglais seulement) De plus amples renseignements seront communiqués prochainement concernant la transition de la v3.1, révision 5, à la révision 1 de 2022.

    • 2021

      • 21 octobre 2021 | Énoncé d’approbation du profil de protection collaboratif pour les dispositifs réseau

        Le Programme canadien lié aux Critères communs approuve officiellement la version 2.2e du document intitulé collaborative Protection Profile for Network Devices (profil de protection collaboratif pour les dispositifs réseau). L’énoncé d’approbation de ce profil de protection (en anglais seulement) can be found on the Common Criteria Portal website.

      • 19 août 2021 | FIPS 186-2 et ANSI X9.31/X9.62

        Certains modules cryptographiques archivés, notamment OpenSSL FIPS Object Module CMVP 1747, ont des fonctionnalités cryptographiques qui sont obsolètes depuis longtemps et qui causent des problèmes lorsqu’elles sont présentes dans les produits évalués.

        À compter de maintenant, les algorithmes cryptographiques dont la conformité aux normes suivantes est annoncée doivent être exclus d’une évaluation selon les Critères communs :

        • FIPS 186-2 RSA Key Generation (génération de clés RSA);
        • FIPS 186-2 RSA Signature Generation (génération de signatures RSA), avec une longueur de module de moins de 4096 bits;
        • ANSI X9.31 ou ANSI X9.62 RNG (génération de nombres aléatoires).

        Ces algorithmes ou fonctionnalités ne répondent pas aux exigences fonctionnelles de sécurité (p. ex. communication sécurisée, mise à jour fiable, etc.). Pour obtenir de plus amples renseignements sur les algorithmes cryptographiques approuvés, veuillez consulter la publication Algorithmes cryptographiques pour l’information NON CLASSIFIÉ, PROTÉGÉ A et PROTÉGÉ B (ITSP.40.111).