Apprentissage

Que sont les Critères Communs ?

L'un des moyens les plus efficaces pour répondre aux exigences en matière de cybersécurité et de conformité consiste à utiliser des produits certifiés selon la norme des Critères communs, reconnue à l'échelle mondiale.

Vous ne les connaissez pas ? Permettez-nous de vous expliquer.

Ci-dessous, nous allons passer en revue les principes fondamentaux de l'évaluation selon les Critères communs : de quoi il s'agit, pourquoi elle est importante et comment la certification aide les organisations à renforcer la confiance dans leur posture de sécurité.

Qu’est-ce que la certification Critères communs ?

Les Critères communs d’évaluation de la sécurité des technologies de l’information, souvent appelés simplement Critères communs ou CC, sont une norme internationale pour la certification de la sécurité informatique. Basée sur la norme ISO/IEC 15408, elle a pour objectif de garantir que les caractéristiques de sécurité d'un produit ont été testées et vérifiées de manière indépendante au moyen d'un processus rigoureux et reproductible adapté au cas d'utilisation prévu.

À l'origine, les Critères communs ont été créés pour unifier les systèmes de certification nationaux de pays tels que les États-Unis, le Canada, l'Allemagne, le Royaume-Uni, la France, l'Australie et la Nouvelle-Zélande. Aujourd'hui, il s'agit d'un cadre mondial complet qui offre la plus large reconnaissance mutuelle des certifications de produits informatiques sécurisés à l'échelle mondiale.

Présentation

Les solutions certifiées Critères communs sont utilisées par les gouvernements, les entreprises et les prestataires de services du monde entier pour protéger les infrastructures critiques.

En réalité, il s'agit souvent d'une condition préalable pour de nombreuses solutions, y compris les services de digital signature qualifiés dans le cadre du règlement de l'Union européenne sur l'identification électronique et les services de confiance, mieux connu sous le nom d’ eIDAS (qui a été mise à jour en 2024 et est désormais appelée eIDAS 2). De plus, des clients du gouvernement des États-Unis demandent fréquemment des produits qui sont répertoriés par le National Information Assurance Partnership, ce qui nécessite une certification Critères communs.

La norme Critères communs garantit que certains aspects clés de la sécurité des produits ont été soigneusement conçus, mis en œuvre, testés, mis à jour et vérifiés de manière indépendante. Parmi ses principaux domaines d'intervention :

  • Développement du produit et fonctions de sécurité associées, y compris une conception, une architecture et une mise en œuvre de haut niveau.
  • Directives pour un déploiement et une préparation sécurisés des produits.
  • Gestion du cycle de vie des documents et des processus liés à la configuration, à la livraison et au retrait des produits.
  • Test des fonctions de sécurité conformément aux exigences de référence.

Autorités de certification

En tant que norme internationale, les Critères communs sont régis par les pays participants via des organismes de certification indépendants. Chaque organisme est chargé d'évaluer et de certifier les produits en fonction des exigences des Critères communs, en veillant à ce que les certifications répondent à des critères d'assurance cohérents et reconnus à l'échelle mondiale.

Comprendre les Critères communs : Concepts clés

Les Critères communs introduisent plusieurs termes clés qui définissent leur processus d'évaluation :

  • Cible d’évaluation (TOE) : Le produit ou le système faisant l'objet de la certification.
  • Cible de sécurité (ST) : Un document définissant les caractéristiques et les objectifs de sécurité de la TOE. Le ST permet aux fournisseurs d'adapter l'évaluation aux capacités spécifiques de leur produit, en se référant souvent à un ou plusieurs profils de protection.
  • Profil de protection (PP) : Un ensemble normalisé d'exigences de sécurité pour une catégorie de produits (par exemple : modules matériels de sécurité ou modules d'activation de signature). Les PP garantissent des critères d'évaluation cohérents et reproductibles.
  • Exigences fonctionnelles de sécurité (SFR) : Les fonctions et capacités spécifiques du produit en matière de sécurité.
  • Exigences en matière de garantie de sécurité (SAR) : Les mesures utilisées pour vérifier qu'un produit répond aux normes annoncées.
  • Niveau de garantie d’évaluation (EAL) : Une note numérique qui indique la profondeur et la rigueur de l'évaluation, de EAL1 (de base) à EAL7 (la plus stricte).

Processus de certification Critères communs

Tous les produits et solutions certifiés Critères communs doivent être testés et vérifiés de manière indépendante selon un processus d’évaluation spécifique :

  1. Le développeur doit d’abord remplir une description de la cible de sécurité et soumettre tous les documents justificatifs qui décrivent le produit, sa fonctionnalité de sécurité et toutes les vulnérabilités potentielles.
  2. Si elle le souhaite, l’entreprise peut choisir un profil de protection qui établira les directives tout au long du processus de certification CC. Le choix d’un PP n’est pas obligatoire, mais il témoigne d’un engagement en faveur d’une évaluation approfondie, attestant que la cible de sécurité est adaptée au cas d’utilisation prévu.
  3. Ensuite, un laboratoire agréé Critères communs indépendant doit évaluer le produit afin de vérifier s'il répond à la norme des Critères communs. Pour finir, il compile ses conclusions dans un rapport d’évaluation.
  4. Si la cible d’évaluation satisfait aux exigences minimales, un organisme de certification délivre un certificat Critères Communs.Une fois vérifiés, tous les produits certifiés Critères communs sont répertoriés sur le portail de la norme Critères communs.

Comment fonctionnent les profils de protection ?

Si un profil de protection définit des exigences de sécurité normalisées pour une catégorie de produits, dans la pratique, il détermine également la manière dont ces produits sont évalués. Chaque PP décrit les objectifs de sécurité, les menaces potentielles et les activités d'évaluation qui doivent être prises en compte lors de la certification.

Qualified Signature Creation Devices (QSCDs), ils sont utilisés pour générer des signatures et des cachets électroniques qualifiés et ils s'appuient largement sur les profils de protection des Critères communs afin de garantir une création de signature sécurisée et fiable.

Les fournisseurs peuvent revendiquer la conformité à un PP existant – tel que la norme EN 419 221-5 pour les modules matériels de sécurité (HSM) ou la norme EN 419 241-2 pour les modules d'activation de signature (SAM) – afin de démontrer qu'ils respectent des normes industrielles bien définies. L'alignement sur un PP garantit que le produit est évalué selon des critères cohérents et reconnus, ce qui permet une reconnaissance mutuelle entre les juridictions et simplifie les audits dans le cadre de l'eIDAS et d'autres cadres de confiance numérique.

Du point de vue du règlement eIDAS 2, un QSCD sera composé d'un HSM avec une certification CC EAL4+ se réclamant du PP EN 419 221-5, et d'un SAM avec une certification CC EAL4+ se réclamant du PP EN 419 241-2.

Mises à jour des Critères communs : Entrust obtient la certification EAL4+

Les Critères communs continuent d'évoluer pour répondre aux exigences des cadres modernes de cybersécurité et de confiance numérique, notamment en s'alignant plus étroitement sur la loi européenne sur la cybersécurité et sur le nouveau système de certification de la cybersécurité de l'UE. Ces développements mettent l'accent sur l'assurance continue, la gestion des vulnérabilités et la sécurité du cycle de vie des produits certifiés.

Dans le cadre de ces avancées, le module d'activation de signature 1.1.1 d'Entrust a obtenu la certification Critères communs EAL4+, complétée par ALC_FLR.2 (remédiation des failles) et AVA_VAN.5 (analyse avancée des vulnérabilités), et revendique le PP EN 419 241-2.

Cette certification offre un niveau élevé d'assurance en ce qui concerne la conception, les tests et la maintenance permanente de la sécurité du système SAM, ce qui permet de respecter les réglementations européennes en matière de cybersécurité et de confiance numérique, y compris l'eIDAS. Ces augmentations valident la maturité des processus de gestion des vulnérabilités d'Entrust et sa capacité à identifier, remédier et se défendre contre les scénarios d'attaque avancés.

Instaurer la confiance numérique grâce à des solutions certifiées

Les HSM nShield d'Entrust fournissent une base de confiance sécurisée qui est testée et certifiée selon le profil de protection rigoureux EN 419 221-5 dans le cadre des Critères communs. Cela aide les organisations à maintenir la conformité et à renforcer la confiance dans leurs opérations cryptographiques.

Nos modèles Solo XC, Connect XC, nShield 5c et nShield 5s offrent une protection inviolable pour la génération de clés, le chiffrement et les signatures. Disponibles sous différentes formes et en tant que service, ils répondent à diverses exigences de déploiement.

Pour les organisations déployant des remote signing services, Entrust propose le module d'activation de signature 1.1.1, désormais certifié EAL4+. Associé à un HSM Entrust, il forme un Qualified Signature Creation Device conforme à eIDAS et permettant des signatures et des cachets électroniques fiables et basés sur des normes dans les secteurs réglementés.

Explorer les sections

Explorer les sections

Respectez les normes mondiales grâce à des solutions de sécurité validées
Normalisez les solutions de sécurité

Vous souhaitez en savoir plus sur nos HSM nShield ? Téléchargez dès aujourd’hui notre dernier livre électronique sur les modules matériels de sécurité.

Télécharger