motif hexagonal violet
Apprentissage

Que sont les Critères Communs ?

L’un des meilleurs moyens de satisfaire à vos exigences en matière de cybersécurité et de conformité est de tirer parti d’un produit certifié Critères communs, reconnu à l’échelle mondiale.

Vous ne les connaissez pas ? Permettez-nous de vous expliquer.

Nous vous présentons ci-dessous les principes de base de l’évaluation selon les Critères communs. Sa définition, son importance et comment un produit certifié peut aider votre entreprise : tout ce qu’il faut savoir.

Qu’est-ce que la certification Critères communs ?

Les Critères communs d’évaluation de la sécurité des technologies de l’information (abrégés en Critères communs ou CC) sont une norme internationale pour la certification de la sécurité informatique. Basée sur la norme ISO/CEI 15408, son objectif principal est de fournir la garantie que les produits de sécurité informatique ont été évalués de manière rigoureuse et reproductible. Plus précisément, elle veille à ce que chaque produit soit soumis à un processus d’essai correspondant au cas d’utilisation prévu.

À l’origine, le processus de certification CC a été développé pour unifier et remplacer les systèmes de certification de sécurité de différents pays, à savoir, les États-Unis, le Canada, l’Allemagne, le Royaume-Uni, la France, l’Australie et la Nouvelle-Zélande. Aujourd’hui, en tant que cadre global de cybersécurité, il offre la plus large reconnaissance mutuelle de produits informatiques sécurisés dans le monde entier.

Présentation

Les solutions certifiées Critères communs sont indispensables aux gouvernements et entreprises du monde entier pour protéger leurs infrastructures stratégiques.

En réalité, il s’agit souvent d’une condition préalable à l’obtention de services de signature numérique qualifiés au titre du règlement de l’Union européenne relatif à l’identification électronique et aux services de confiance, plus connu sous le nom d’eIDAS. De plus, des clients du gouvernement américain demandent fréquemment des produits qui sont répertoriés par le National Information Assurance Partnership (NIAP), ce qui nécessite une certification Critères communs.

Pourquoi ? En effet, la norme Critères communs garantit que certains aspects de la sécurité des produits ont été soigneusement mis en œuvre, testés, mis à jour et vérifiés de manière indépendante. Voici quelques-unes des exigences de sécurité définies par la certification CC :

  • Développement du produit et fonctions de sécurité associées, y compris une conception, une architecture et une mise en œuvre de haut niveau
  • Directives pour un déploiement et une préparation sécurisés des produits
  • Gestion du cycle de vie des documents et des processus liés à la configuration, à la livraison et au retrait des produits
  • Test des fonctions de sécurité conformément aux exigences de référence

Autorités de certification

En tant que norme internationale, les Critères communs sont gérés par un partenariat de plusieurs pays par l’intermédiaire d’organisations appelées « organismes de certification ». Chaque organisme de certification est chargé d’évaluer et de certifier de manière indépendante les produits en fonction des exigences de sécurité des Critères communs.

Comprendre les Critères communs : Concepts clés

Il existe plusieurs termes et expressions propres à la norme Critères communs. Voici une brève analyse de chacun d’entre eux et de leur importance :

  • Cible d’évaluation (TOE) : il s’agit simplement du produit qui fait l’objet du processus d’évaluation des CC.
  • Cible de sécurité (ST) : une cible de sécurité est un document qui définit les caractéristiques et les propriétés de sécurité de la cible d’évaluation. Elle permet aux fournisseurs d’adapter l’évaluation aux capacités spécifiques de leur solution, tout en aidant les clients à identifier les fonctions de sécurité qui ont été testées. Elle peut faire référence à un ou plusieurs profils de protection.
  • Profil de protection (PP) : ce document vise à identifier les exigences de sécurité pour un type de produit spécifique, tel qu’un Qualified Signature Creation Device. Les fournisseurs s’appuient souvent sur un profil de protection pour créer leur propre cible de sécurité.
  • Exigences fonctionnelles de sécurité (SFR) : il s’agit de toutes les fonctions et capacités de sécurité uniques d’un produit.
  • Exigences en matière de garantie de sécurité (SAR) : cette liste d’exigences décrit les étapes nécessaires pour s’assurer qu’un produit répond aux normes indiquées.
  • Niveau de garantie d’évaluation (EAL) : le niveau de garantie d’évaluation est une note numérique décrivant la portée et la rigueur du processus d’évaluation. Plus simplement, il indique aux clients dans quelle mesure un produit a été testé conformément à ses exigences en matière de garantie de sécurité. Les EAL vont de 1 (le plus élémentaire) à 7 (le plus rigoureux).

Processus de certification Critères communs

Tous les produits et solutions certifiés Critères communs doivent être testés et vérifiés de manière indépendante selon un processus d’évaluation spécifique :

  1. Le développeur doit d’abord remplir une description de la cible de sécurité et soumettre tous les documents justificatifs qui présentent le produit, sa fonctionnalité de sécurité et toutes les vulnérabilités potentielles.
  2. Si elle le souhaite, l’entreprise peut choisir un profil de protection qui établira les directives tout au long du processus de certification CC. Le choix d’un PP n’est pas obligatoire, mais il témoigne d’un engagement en faveur d’une évaluation approfondie, attestant que la cible de sécurité est adaptée au cas d’utilisation prévu.
  3. Ensuite, un organisme de certification agréé indépendant doit évaluer le produit pour vérifier s’il répond à la norme Critères communs. Pour finir, il compile ses conclusions dans un rapport d’évaluation.
  4. Si la cible d’évaluation satisfait aux exigences minimales, un organisme de certification délivre un certificat Critères Communs.

Une fois vérifiés, tous les produits certifiés Critères communs sont répertoriés sur le portail de la norme Critères communs.

Tirer parti des Critères communs avec les HSM Entrust nShield et le module d’activation de signature pour vos projets de signature numérique

Les modules matériels de sécurité (HSM) Entrust nShield établissent une racine de confiance testée et certifiée selon la norme rigoureuse Critères communs, pour vous aider à vous conformer aux réglementations tout en vous procurant la confiance nécessaire dans votre solution de sécurité.

Avec une certification CC, nos HSM Solo XC, Connect X et nShield 5 sont vérifiés pour répondre aux exigences du profil de protection des Critères communs EN 419 221-5, la norme du secteur pour tous les modules matériels de sécurité. Nos solutions vous apportent la garantie de sécurité nécessaire pour générer des données cryptographiques conformes au règlement eIDAS.

Ces HSM créent un environnement renforcé et inviolable qui sécurise le traitement cryptographique, la génération et la protection des clés, le chiffrement, et plus encore. Disponibles en trois formats certifiés FIPS 140-2 et en tant que service, les HSM Entrust nShield conviennent pour de nombreux scénarios de déploiement.

Si vous cherchez à déployer un service de signature à distance conforme à l’eIDAS, Entrust propose également un module d’activation de signature (SAM) certifié Critères communs CEN EN 419 241-2. Combinez-le à l’un de nos HSM certifiés CC pour déployer un Qualified Signature Creation Device (QSCD) conforme à l’eIDAS.

Vous souhaitez en savoir plus sur nos HSM nShield ? Téléchargez dès aujourd’hui notre dernier livre électronique sur les modules matériels de sécurité.

Télécharger