Passer au contenu principal
Logo Blackberry
Contexte du héros

Certification selon les critères communs

Qu'est-ce que la certification Common Criteria ?

Les Critères communs (CC), officiellement désignés sous le nom ISO/IEC 15408, sont une norme internationale utilisée pour évaluer la fonctionnalité et l'assurance de la sécurité des produits informatiques. Ils fournissent une méthode structurée pour définir les exigences de sécurité et vérifier qu'un produit a été rigoureusement testé par rapport à ces exigences. Les gouvernements et les entreprises s'appuient sur les Critères communs pour :

  • Assurer une comparaison cohérente des allégations en matière de sécurité.

  • Permettre des décisions d'achat éclairées pour les produits axés sur la sécurité.

  • Définir les exigences qui correspondent aux risques opérationnels spécifiques et aux contextes de déploiement.

  • Soutenir la vérification indépendante des allégations relatives aux produits à des niveaux d'assurance définis.

Cette certification a deux objectifs :

  • Il garantit que les caractéristiques de sécurité d'un produit sont décrites avec précision dans un document appelé « cible de sécurité ».

  • Il facilite l'évaluation indépendante de ces caractéristiques selon un niveau de rigueur défini, appelé « niveaux d'assurance d'évaluation » (EAL).

Ce processus permet aux acheteurs d'aligner le niveau d'évaluation d'un produit (par exemple, EAL2 par rapport à EAL4+) avec le risque opérationnel et le contexte de déploiement. La désignation EAL4+ est généralement visée par les produits à haute assurance, car elle offre un équilibre entre la profondeur de l'analyse et les délais de déploiement pratiques.

Les critères communs bénéficient d'une large reconnaissance internationale grâce à l'accord de reconnaissance des critères communs (CCRA), qui rationalise l'acceptation des évaluations dans les pays membres. Aux États-Unis, le National Information Assurance Partnership (NIAP) gère ce processus en coordination avec le Common Criteria Evaluation and Validation Scheme (CCEVS). Ces organismes valident les produits certifiés et tiennent à jour la liste des produits conformes, fournissant ainsi une référence faisant autorité pour les organisations qui évaluent des solutions sécurisées.

Pour les acheteurs soucieux de la sécurité dans des secteurs tels que les administrations publiques et les infrastructures critiques, cette normalisation réduit les tests redondants et accélère l'adoption de solutions éprouvées.

Le processus de certification selon les critères communs

L'obtention de la certification Common Criteria implique un processus structuré, fondé sur des preuves, transparent et reproductible, qui permet aux organisations de planifier leurs ressources et de réduire les risques. Le processus est le suivant :

  • Définition du champ d'application : identifier le produit, définir l'objectif de sécurité et documenter les fonctionnalités de sécurité prévues, les menaces pertinentes et les hypothèses opérationnelles.

  • Identification des profils de protection : Déterminer les profils de protection applicables afin de normaliser les exigences en matière de sécurité.

  • Préparation des preuves : élaborer une documentation complète sur la conception et les essais afin d'étayer l'évaluation.

  • Évaluation indépendante : subir des tests fonctionnels et de pénétration réalisés par un laboratoire accrédité.

  • Correction et révision : traiter systématiquement les résultats jusqu'à ce que le produit atteigne le niveau d'assurance visé.

  • Rapport de certification : recevez un rapport d'évaluation détaillé qui justifie la certification au niveau EAL choisi.

  • Examen par l'organisme de certification : les organismes nationaux de certification examinent le travail du laboratoire et délivrent le certificat une fois celui-ci validé.

Aux États-Unis, la certification NIAP est validée par le CCEVS, et les produits certifiés figurent sur la liste des produits conformes afin de simplifier leur achat. Cette séparation des tâches garantit l'impartialité et la cohérence des évaluations.

Les délais pour la certification Common Criteria peuvent varier en fonction de la portée et du niveau d'assurance de l'évaluation. Les évaluations de moindre envergure peuvent être réalisées en quelques mois, tandis que les projets nécessitant un niveau d'assurance plus élevé ou les systèmes plus complexes peuvent nécessiter neuf mois ou plus.

Les coûts dépendent de la portée de l'évaluation, du niveau d'assurance d'évaluation (EAL) choisi et de la disponibilité des preuves à l'appui. Une planification proactive et un contrôle rigoureux de la configuration permettent de gérer les délais et le budget.

Avantages de la certification Common Criteria

La certification fournit une garantie indépendante que les fonctionnalités de sécurité d'un produit fonctionnent comme prévu et ont été examinées minutieusement par rapport à une norme reconnue. Cette garantie renforce la confiance entre les équipes de sécurité, les responsables des achats et les auditeurs qui exigent des preuves défendables des allégations en matière de sécurité. Lorsqu'un produit figure sur la liste des produits conformes, cela signale immédiatement son intégrité vérifiée aux acheteurs potentiels.

Les principaux avantages sont les suivants :

  • Simplifie l'accès aux opportunités nécessitant des solutions certifiées.

  • Simplifie l'acceptation transfrontalière grâce à l'accord de reconnaissance des critères communs (CCRA), minimisant ainsi les évaluations redondantes.

  • Contribue à améliorer la qualité de la documentation, la couverture des tests et la maintenabilité à long terme lorsqu'il est intégré au cycle de vie du développement sécurisé.

  • Fournit une voie reconnue vers l'acceptation pour une utilisation au niveau fédéral américain grâce à la certification NIAP et à la validation CCEVS.

  • Apporte de la clarté aux clients et aux parties prenantes en abordant clairement le problème de sécurité à résoudre, la manière dont il est atténué et le niveau d'assurance vérifié de manière indépendante.

Cette clarté facilite la prise de décisions fondées sur les risques et répond aux attentes en matière de gouvernance d'entreprise. Les solutions développées selon des normes de sécurité rigoureuses et conçues pour répondre aux exigences de conformité, notamment l'alignement sur les critères communs jusqu'à des niveaux tels que EAL4+, aident les organisations à opérer en toute confiance dans des environnements hautement sécurisés.

BlackBerry pour des communications sécurisées

Pour les environnements où l'échec n'est pas une option

BlackBerry Secure Communications est la solution leader qui offre une expertise inégalée pour protéger les communications les plus critiques au monde.

Découvrez les solutions BlackBerry Secure Communications

FAQ

Quelle est la différence entre la norme ISO 27001 et les Critères communs ?

La norme ISO/IEC 27001 est une norme relative aux systèmes de gestion qui spécifie les exigences applicables à un système de gestion de la sécurité de l'information (SGSI). Elle se concentre sur les processus organisationnels et la gestion des risques. En revanche, les Critères communs (ISO/IEC 15408) évaluent la fonctionnalité et l'assurance de sécurité de produits informatiques spécifiques à l'aide de niveaux d'assurance d'évaluation définis. En substance, la norme ISO 27001 traite de la sécurité au niveau organisationnel, tandis que les Critères communs évaluent de manière indépendante les allégations de sécurité d'un produit.

Quelle est la norme ISO relative aux critères communs ?

Les critères communs sont formalisés dans la norme ISO/IEC 15408, qui spécifie les critères d'évaluation, et sont soutenus par la norme ISO/IEC 18045, qui décrit la méthodologie d'évaluation. Ces normes internationales définissent la manière dont les exigences de sécurité sont documentées et dont les évaluations sont effectuées, ce qui aboutit finalement à l'inscription des certifications sur des listes de conformité reconnues.

Quel est le lien entre la certification NIAP et les marchés publics américains ?

La certification NIAP, validée par le programme d'évaluation et de validation des critères communs (CCEVS), correspond à l'approche adoptée par le gouvernement américain en matière de critères communs. Les produits qui obtiennent cette certification sont reconnus comme conformes, ce qui simplifie le processus d'acquisition pour les agences et indique clairement leur statut certifié.

Quel niveau EAL des Critères Communs une organisation devrait-elle viser ?

Le niveau d'assurance d'évaluation (EAL) le plus approprié dépend du risque lié à la mission de l'organisation, du contexte de déploiement et de la disponibilité des preuves à l'appui. De nombreuses entités commerciales et gouvernementales privilégient le niveau EAL4+, car il offre un équilibre entre une analyse complète et des délais de déploiement réalistes. Il est fortement recommandé de collaborer avec un laboratoire accrédité afin de mettre en correspondance les exigences opérationnelles avec les niveaux d'assurance appropriés.