Critères communs


Le Centre pour la cybersécurité s’efforce, entre autres, d’améliorer la cybersécurité au Canada en procédant à la certification des produits de technologies de l’information (TI) en fonction de spécifications et de normes publiques en matière de cybersécurité reconnues par le centre, telles que les Critères communs. Ces programmes de certification seront particulièrement utiles aux personnes chargées de se procurer des produits de TI dans le secteur privé et au sein du gouvernement. Ces produits sont certifiés par des laboratoires commerciaux agréés en fonction de normes reconnues à l’échelle internationale.

Le Centre pour la cybersécurité est d’avis que confronté à un choix entre un produit certifié selon les Critères communs et un produit non certifié équivalent, il vaut toujours mieux se tourner vers des produits certifiés.

Pour les fournisseurs

Le Centre pour la cybersécurité recommande que les produits servant à la mise en œuvre des fonctionnalités liées à la sécurité des TI fassent l’objet d’une certification selon les Critères communs. Les fournisseurs voulant obtenir la certification de leurs produits doivent communiquer avec l’un des laboratoires commerciaux agréés en vertu du Programme canadien lié aux Critères communs. Les fournisseurs devraient veiller à ce qu’un laboratoire mette à l’essai leurs produits en fonction d’un profil de protection.

Pour les architectes de systèmes

Le Centre pour la cybersécurité recommande de faire appel à des produits certifiés selon les Critères communs au moment de sélectionner un produit de TI pour la conception d’un service ou d’un réseau. Par exemple, envisagez d’utiliser des produits certifiés selon les Critères communs pour atténuer les risques lors de la conception d’éléments tels que les coupe-feu, les systèmes de détection et de prévention d’intrusion (SDI/SPI) et les systèmes d’exploitation. La cible de sécurité et le rapport de certification du produit font état des détails sur ce qui a été évalué.

Le Centre pour la cybersécurité recommande de concilier vos besoins avec les profils de protection existants; par exemple, le Protection Profile for Stateful Traffic Filter Firewall pour les coupe-feu ou l’Extended Package pour les systèmes de prévention d’intrusion.

Pour les acheteurs

Les produits certifiés selon les Critères communs offrent aux acheteurs un niveau d’assurance élevé en ce qui a trait à la cybersécurité du produit. Le Centre pour la cybersécurité reconnaît les produits certifiés selon les Critères communs comme des produits offrant de précieuses fonctionnalités de sécurité à un environnement de TI. La cible de sécurité et le rapport de certification du produit font état des détails sur ce qui a été évalué.

Avant de procéder à l’achat d’un équipement de TI capable d’exécuter des fonctions de cybersécurité, le Centre pour la cybersécurité recommande que les organismes obtiennent copie du certificat de Critères communs du fournisseur ou le numéro de certificat du produit, et qu’ils valident ces certificats en vérifiant la liste des produits certifiés selon les Critères communs.

Si vous n’arrivez pas à trouver un produit en particulier, consultez la liste des produits certifiés du Centre pour la cybersécurité. Si un produit est toujours à la phase de mise à l’essai, vous le trouverez dans la liste des produits en cours d’évaluation.

Pour les laboratoires

Les organismes qui veulent devenir un laboratoire d’essais pour le Programme canadien lié aux Critères communs devraient consulter le guide à cet effet.

À propos des Critères communs

Les Critères communs consistent en un programme international dans le cadre duquel des laboratoires d’essais agréés mettent à l’essai des produits de STI en fonction de spécifications standards en matière de cybersécurité que l’on appelle Profils de protection (PP). Ces PP représentent les exigences d’assurance de la sécurité pour des classes de technologie. En appliquant l’Arrangement de reconnaissance selon les Critères communs (ARCC), les pays acceptent de reconnaître les certificats accordés dans le cadre du schéma lié aux Critères communs et produits par tout participant autorisé à délivrer un certificat, conformément aux modalités de l’ARCC.

Tous les pays participant au programme de Critères communs exploitent un organisme de certification qui relève d’un organisme du gouvernement. Le Centre pour la cybersécurité gère le Programme canadien lié aux Critères communs qui vise à certifier les produits mis à l’essai par les laboratoires d’essais selon les Critères communs canadiens.

Les services d’évaluation sont exécutés par des installations commerciales. Pour faire évaluer leur produit, les fournisseurs doivent communiquer avec une installation d’évaluation commerciale agréée. Cette dernière évaluera le produit en fonction du profil de protection applicable.

Pour en apprendre davantage sur les Critères communs

Vous voulez en savoir plus sur les Critères communs? Visitez le portail principal des Critères communs.

Vous aimeriez que le Centre pour la cybersécurité vous en dise plus sur les Critères communs? Veuillez communiquer avec nous.

Dernière mise à jour: