Qu'est-ce que la certification selon les critères communs ?

Les critères communs sont le modèle que les gouvernements utilisent comme système de certification pour les produits qu'ils choisissent d'utiliser dans les agences gouvernementales et les infrastructures critiques. De nombreuses entreprises utilisent également des critères communs dans leur processus de sélection de logiciels en raison de la qualité garantie par la certification selon les critères communs.

L'arrangement de reconnaissance selon les critères communs (CCRA) est défini dans les Critères communs pour l'évaluation de la sécurité des technologies de l'information et la méthodologie commune pour l'évaluation de la sécurité des technologies de l'information (CEM). Il s'agit de normes très génériques qui ne garantissent pas la sécurité.

Cependant, une certification selon les Critères communs peut garantir que les allégations de sécurité d'un fournisseur ont été évaluées de manière indépendante.

La certification CC met les produits qui ont été évalués à la disposition d'un plus grand nombre d'utilisateurs, garantit que le produit répond aux exigences du fournisseur et allège la charge et les coûts liés à l'évaluation des logiciels pour les clients de logiciels.

‍

Principaux concepts liés aux critères communs

Voici quelques concepts que vous pourriez avoir besoin de connaître pour comprendre les Critères communs :

‍

• Objectif de l'évaluation (TOE) : Il s'agit du produit ou du système en cours d'évaluation.
• Cible de sécurité (ST) : Ce document définit les propriétés de sécurité du produit en cours d'évaluation. Il permet aux éditeurs de logiciels de personnaliser l'évaluation en fonction des fonctionnalités spécifiques de leur produit. Il aide également les clients potentiels à déterminer quelles fonctionnalités de sécurité du produit ont été testées, afin qu'ils puissent prendre des décisions plus éclairées.
• Profil de protection (PP) : Il s'agit d'un document créé par la communauté des utilisateurs pour identifier les exigences de sécurité pour une classe spécifique de dispositifs de sécurité tels que les signatures numériques ou les pare-feux. Les fournisseurs peuvent choisir de fabriquer des produits conformes à un ou plusieurs PP, puis de faire évaluer leurs produits en fonction de ces derniers. Les fournisseurs peuvent également utiliser les PP comme modèle pour créer leurs propres cibles de sécurité.
• Exigences fonctionnelles de sécurité (SFR) : Elles répertorient les fonctions de sécurité uniques fournies par un produit.
• Exigences en matière d'assurance de sécurité (SAR) : Ils sont utilisés dans le processus d'assurance qualité et décrivent les étapes à suivre pour s'assurer qu'un produit répond aux normes de sécurité déclarées.
• Niveau d'assurance de l'évaluation (EAL) : Il s'agit d'une note numérique qui décrit la profondeur et la rigueur de l'évaluation. Chaque EAL correspond à un ensemble de SAR. Common Criteria répertorie sept niveaux d'EAL, dont 1 est le niveau d'évaluation le plus élémentaire et 7 le plus strict.

‍

Comment les produits obtiennent la certification CC

Voici quelques étapes qu'une entreprise doit suivre pour obtenir la certification Common Criteria :

1. L'entreprise doit compléter une description de la cible de sécurité ainsi que tous les documents justificatifs. Cela devrait inclure un aperçu du produit, de ses fonctionnalités de sécurité et de toute menace de sécurité potentielle.
2. L'entreprise doit trouver un laboratoire agréé indépendant pour évaluer son produit et déterminer s'il répond aux normes de sécurité qu'elle a définies pour le produit.
3. Une fois que le produit passe l'évaluation, l'un des nombreux systèmes de création de certificats délivre la certification.

Common Criteria est une norme internationale pour la certification de sécurité informatique. Les fournisseurs de produits peuvent faire certifier leurs produits selon les critères communs pour prouver les allégations de sécurité qu'ils formulent, puis les entreprises peuvent comparer leurs besoins en matière de sécurité aux allégations testées afin de trouver des logiciels et des systèmes à ajouter à leur infrastructure.

‍

En savoir plus

Pour plus de détails sur la certification Common Criteria d'Illumio et d'autres certifications de sécurité gouvernementales, consultez notre Certifications et des pages gouvernementales.