Remarque

Les éléments suivants ont été créés avant la mise sur pied du Centre canadien pour la cybersécurité par un des organismes qui forment maintenant le Centre pour la cybersécurité. Ces éléments sont encore pertinents aux discussions actuelles sur la cybersécurité.

 

Approbation des installations d'évaluation (Guide no 3)



Schéma canadien lié aux critères communs

Centre de la sécurité des télécommunications
Schéma canadien lié aux critères communs
Approbation des installations d'évaluation

Guide no 3

Version 3.0

Août 2016

© Gouvernement du Canada
Le présent document est la propriété exclusive du gouvernement du Canada. Toute modification, diffusion à un public autre que celui visé, production, reproduction ou publication, en tout ou en partie, est strictement interdite sans l'autorisation expresse du CST.


Aperçu

L’objet du présent document est de décrire les exigences et le processus par lequel une organisation commerciale (ci-après appelée l’« entreprise ») peut devenir un centre d’évaluation selon les Critères communs (CECC) approuvé fonctionnant au sein du Schéma.

Le présent document s’adresse avant tout aux futurs centres d’évaluation selon les Critères communs qui veulent obtenir des renseignements au sujet du processus d’approbation. En outre, les commanditaires des évaluations, les développeurs et les utilisateurs peuvent également y trouver des renseignements utiles pour comprendre les exigences que doivent respecter les centres d’évaluation selon les Critères communs.

Table des matières

Liste des Tableaux

Liste des Annexes

1 Introduction

Dans le cadre du Schéma canadien lié aux Critères communs (ci-après désigné sous l’appellation « Schéma »), les installations commerciales (ci-après appelées Centres d’évaluation selon les Critères communs ou CECC) évaluent les produits de sécurité des technologies de l’information (TI), sous la supervision de l’organisme de certification (OC).

Il incombe à l’OC, exploité par le Centre de la sécurité des télécommunications (CST), d’approuver les laboratoires à titre de CECC dans le cadre d’un processus en deux étapes, à savoir :

  • l’accréditation par le Conseil canadien des normes (CCN) en vertu du programme d’accréditation des installations d’EEPSTI (évaluation et essais de produits de sécurité des technologies de l’information);
  • l’approbation par l’OC pour réaliser des évaluations selon les Critères communs (CC), à titre de CECC.

2 Procédures à suivre pour devenir un CECC

2.1 Aperçu

Le processus d’approbation des CECC comporte les étapes suivantes. Même si un ordre général des tâches est supposé, il est possible d’effectuer certaines de ces étapes simultanément.

  • l’entreprise communique avec l’OC pour manifester un intérêt à devenir un CECC;
  • l’OC confirme l’admissibilité pour poursuivre avec le processus d’approbation de CECC;
  • l’entreprise communique avec le CCN pour obtenir une accréditation d’installation EEPSTI;
  • l’OC qualifie les membres du personnel de l’entreprise en tant qu’évaluateurs des CC;
  • le CCN et l’OC effectuent un examen préliminaire du Manuel qualité de l’entreprise et des documents d’appui;
  • le CCN et/ou l’OC font une visite préliminaire de l’installation de l’entreprise;
  • l’entreprise effectue un essai d’évaluation selon les CC pour un produit de TI qui a été approuvé par l’OC à cette fin;
  • l’OC confirme que l’essai de compétence a été réussi;
  • le CCN et l’OC effectuent un examen détaillé du Manuel qualité de l’entreprise et des documents d’appui;
  • le CCN et/ou l’OC font une visite d’installation EEPSTI préliminaire de l’installation de l’entreprise;
  • le CCN accorde l’accréditation d’installation EEPSTI à l’entreprise;
  • l’OC confirme que les exigences d’approbation du CECC ont été satisfaites;
  • l’entreprise accepte l’accord avec le CECC et la signe;
  • l’OC approuve officiellement le CECC.

Il faut noter que, même si l’accréditation d’une installation EEPSTI est principalement du ressort du CCN, le processus est appuyé par l’OC en ce qui concerne l’évaluation de la compétence technique de l’entreprise, qui est évaluée en partie par l’essai de compétence.

2.2 Communiquer avec l'OC pour manifester un intérêt à devenir un CECC

La première étape en vue de devenir un CECC pour l’entreprise est de communiquer avec l’OC, soit par lettre ou par courriel, afin de manifester un intérêt pour devenir un CECC. À tout le moins, les renseignements suivants doivent être fournis : identification et emplacement de l’installation et coordonnées d’une personne-ressource principale qui agira au nom de l’entreprise.

2.3 Confirmer l'admissibilité pour poursuivre le processus d'approbation de CECC

L’OC doit communiquer avec l’entreprise pour accuser réception de la manifestation d’intérêt à devenir un CECC et répondre à toute question préliminaire que l’entreprise pourrait vouloir poser.

L’OC confirmera aussi s’il accepte actuellement de nouvelles demandes pour devenir un CECC. Advenant une réponse affirmative, l’OC peut établir un délai dans lequel l’entreprise est tenue de présenter sa demande d’installation EEPSTI au CCN afin de maintenir son admissibilité à devenir un CECC.

2.4 Communiquer avec le CCN pour obtenir l'accréditation EEPSTI

L’étape suivante pour devenir un CECC approuvé est de communiquer avec le CCN afin de prendre des dispositions pour une accréditation d’installation EEPSTI; l’OC fournira, sur demande, les coordonnées de la personne-ressource du CCN.

Le CCN fournira un formulaire de demande décrivant la documentation nécessaire qui doit être présentée, notamment le Manuel qualité de l’entreprise et une liste de vérification dûment remplie.

Une fois que le CCN a reçu la demande d’accréditation d’installation EEPSTI, ainsi que le paiement des frais applicables, il préparera un calendrier menant à une visite d’installation de l’entreprise.

2.5 Qualifier les membres du personnel de l'entreprise en tant qu'évaluateurs des CC

Afin d’obtenir l’accréditation d’une installation EEPSTI avec une portée d’accréditation selon les CC, au moins trois membres du personnel technique de l’entreprise doivent posséder un certificat d’évaluateur des CC approuvé au niveau EAL (ci-après appelé le certificat d’évaluateur des CC) délivré par l’OC.

En conséquence, l’entreprise doit proposer au moins trois membres de son personnel technique à titre d’évaluateurs éventuels. Si un membre du personnel a déjà reçu un certificat d’évaluateur des CC, l’OC peut opter de reconnaître cette qualification existante en tenant compte des évaluations réalisées et du temps qui s’est écoulé depuis la plus récente évaluation selon les CC. Pour tous les autres évaluateurs éventuels, les exigences qui suivent s’appliquent.

Pour qu’un évaluateur éventuel reçoive le certificat d’évaluateur des CC, il doit satisfaire ces exigences :

  • l’évaluateur éventuel doit posséder une combinaison convenable d’éducation et d’expérience pertinente en sécurité des TI (voir les détails plus loin);
  • l’évaluateur éventuel doit recevoir une note de passage à l’examen d’évaluateur des CC.

Afin de démontrer une combinaison convenable d’éducation et d’expérience, l’entreprise doit, au nom de chaque évaluateur éventuel, fournir à l’OC un CV à jour, ainsi que la matrice des compétences de l’évaluateur dûment remplie, qui se trouve à l’annexe A du présent document. Une fois que cette matrice a été présentée, l’OC examinera le CV et la matrice des compétences de l’évaluateur, afin de confirmer que l’évaluateur éventuel a obtenu une note requise de 9 ou plus dans la matrice des compétences de l’évaluateur (voir l’annexe A).

Lorsque l’OC confirme que l’évaluateur éventuel a obtenu la note requise dans la matrice des compétences de l’évaluateur, alors le gestionnaire des opérations informera le directeur de l’entreprise qu’un évaluateur éventuel est admissible à passer l’examen d’évaluateur des CC, qui est un examen écrit qui met à l’épreuve la compréhension d’un évaluateur éventuel des CC et de la CEM, et des profils de protection.

Il est attendu que les évaluateurs éventuels possèdent de solides connaissances des CC et de la CEM, et qu’ils soient au courant des profils de protection actuels avant de passer l’examen d’évaluateur des CC. Pour aider les évaluateurs éventuels à se préparer à l’examen, l’OC offre, avant la tenue de chaque examen, un atelier d’une demi-journée dirigé par un certificateur ou un certificateur principal. Cet atelier propose un résumé de la structure et des exigences des CC et de la CEM, ainsi que quelques-uns des PP actuels. Il fournit également des détails précis sur les exigences et les pratiques propres au Schéma.

Une fois qu’un évaluateur éventuel a réussi l’examen d’évaluateur des CC, l’OC lui délivrera un certificat d’évaluateur des CC.

2.6 Effectuer un examen préliminaire du Manuel qualité de l'entreprise et des documents d'appui

L’OC et un évaluateur en chef assigné par le CCN effectuent un examen préliminaire de toute la documentation présentée par l’entreprise dans le cadre de sa demande d’accréditation d’installation EEPSTI. Le but de cet examen est de déterminer s’il y a des préoccupations importantes en ce qui concerne le système de gestion de la qualité de l’entreprise qui devraient être résolues avant d’effectuer un essai d’évaluation de CC.

2.7 Faire une visite préliminaire de l'installation de l'entreprise

L’OC et le CCN, après avoir effectué un examen préliminaire du Manuel qualité de l’entreprise et des documents d’appui, effectuent une visite préliminaire de l’installation de l’entreprise. L’objet de cette visite est de discuter de toute préoccupation que les examinateurs ont en ce qui concerne le Manuel qualité de l’entreprise ou la documentation connexe, et de discuter des prochaines étapes du processus, notamment l’essai d’évaluation selon les CC et le processus d’évaluation EEPSTI éventuel. Cette visite préliminaire est de nature non officielle et diffère de la visite d’installation EEPSTI qui est de nature officielle et qui survient plus tard au cours du processus.

2.8 Effectuer un essai d'évaluation selon les CC

L’objet de l’essai d’évaluation selon les CC est de démontrer que l’entreprise a la capacité d’effectuer une évaluation selon les CC à un haut niveau de compétence, conformément aux exigences de CC et de la CEM, ou du PP, tout en se conformant aux règles du Schéma. De plus, l’essai d’évaluation selon les CC permet d’avoir recours au plan de formation en cours d’emploi (FCE) pour répondre aux critères d’admissibilité de désignation en tant qu’évaluateur CC en chef (voir la section 3.5). L’essai d’évaluation de CC correspond à la portion d’essai de compétence de l’accréditation d’installation EEPSTI.

L’entreprise proposera un produit de TI sur lequel on effectuera un essai d’évaluation de CC et l’OC confirmera si le produit en question convient ou non à une telle évaluation. Le produit de TI doit respecter les exigences d’admissibilité d’usage énoncées dans l’Instruction no 2 et l’OC s’assure que la portée des fonctions de sécurité du produit de TI soit suffisante pour que le CECC pressenti puisse démontrer sa capacité d’évaluation.

L’entreprise conclura un arrangement avec le commanditaire de l’évaluation et procédera à l’essai d’évaluation selon les CC. Si l’arrangement conclu avec le commanditaire de l’évaluation prend fin avant l’achèvement de l’essai d’évaluation selon les CC ou si les produits de TI ne passent pas l’évaluation selon les CC, l’OC peut alors exiger que l’entreprise conclut un arrangement avec un autre commanditaire d’évaluation s’il n’a pas eu la possibilité d’observer le CECC pressenti et d’interagir avec lui dans le cadre d’un ensemble d’activités d’évaluation.

Afin de démontrer la compétence technique à l’OC, l’entreprise sera tenue d’exécuter les activités suivantes :

  • réaliser des activités d’évaluation conformément aux exigences des CC et de la CEM, et/ou du PP, et produire une preuve d’évaluation pour l’OC pendant l’évaluation proprement dite;
  • répondre aux rapports d’observation formulés par l’OC;
  • préparer un rapport technique d’évaluation (RTE) pour consigner les constatations;
  • travailler de façon coordonnée en équipe afin de réussir l’évaluation.

Le certificateur principal procédera au contrôle technique de l’essai d’évaluation; il est probable que certaines activités d’évaluation soient examinées plus attentivement que ce qui serait normalement le cas dans d’autres évaluations selon les CC, afin de s’assurer que les analyses et les procédures appropriées sont appliquées.

Le produit évalué à titre d’essai peut se retrouver sur la Liste des produits certifiés dans le cadre du Schéma canadien si, de l’avis de l’OC, l’évaluation a été réalisée avec succès et conformément aux exigences des CC et de la CEM. Comme l’objectif premier de l’évaluation d’essai est d’évaluer l’installation, le produit de TI ne doit pas nécessairement réussir cette évaluation pour que le rendement de l’installation soit jugé satisfaisant. Un rendement insatisfaisant, mesuré par rapport aux exigences des CC, de la CEM et du contrôle technique de l’OC, fera en sorte que l’entreprise ne réussira pas la portion d’essai de compétence du processus d’accréditation d’installation EEPSTI, et par conséquent l’entreprise ne sera pas admise à l’approbation en tant que CECC. Toutefois, dans l’évaluation du rendement de l’installation, on tiendra compte du fait que l’évaluation d’essai constitue probablement une expérience d’apprentissage pour l’entreprise.

2.9 Confirmer que l'essai de compétence a été réussi

Une fois que l’OC détermine que les membres du personnel de l’entreprise ont démontré une compétence technique relativement aux CC, l’OC recommandera ensuite que le CCN aille de l’avant avec le processus d’accréditation EEPSTI officiel.

2.10 Effectuer un examen détaillé du Manuel qualité de l'entreprise et des documents d'appui

L’OC et un évaluateur en chef assigné par le CCN effectuent un examen détaillé de toute la documentation présentée par l’entreprise dans le cadre de sa demande d’accréditation d’installation EEPSTI et identifient les secteurs où mettre l’accent au cours de la visite d’installation EEPSTI. De plus amples détails sur ce processus peuvent être obtenus du CCN.

2.11 Effectuer une visite d'installation EEPSTI

L’équipe de visite d’installation EEPSTI est constituée d’un évaluateur en chef désigné par le CCN, ainsi qu’un représentant de l’OC à titre d’évaluateur technique. Le point de mire principal de l’évaluateur en chef est de déterminer si l’entreprise fonctionne conformément à son Manuel qualité et à clarifier tous détails dans les processus de qualité de l’entreprise qui peuvent être nébuleux. L’évaluateur technique s’intéresse principalement à déterminer la compétence technique de l’entreprise dans le domaine de la sécurité des TI.

La visite d’installation EEPSTI dure habituellement deux jours et inclut des entrevues avec le personnel de l’entreprise et une vérification indépendante visant à déterminer que les processus sont suivis conformément au Manuel qualité de l’entreprise. À partir d’une perspective technique, la visite d’installation EEPSTI fournit une confirmation finale de la compétence technique de l’entreprise, afin de compléter l’essai de compétence mené précédemment.

On peut obtenir du CCN de plus amples détails sur le processus de visite d’installation EEPSTI.

2.12 Accorder l'accréditation d'installation EEPSTI

Une fois que l’entreprise a réussi à résoudre toutes les observations soulevées dans le cadre de la visite d’installation EEPSTI, le CCN accordera l’accréditation d’installation EEPSTI, avec une portée d’accréditation selon les Critères communs.

2.13 Confirmer que les exigences d'approbation du CECC ont été satisfaites

L’OC communique tout d’abord avec l’entreprise, afin de confirmer son intention de devenir un CECC approuvé.

L’OC mène ensuite une évaluation détaillée de l’état de préparation de l’entreprise à devenir un CECC. Cette évaluation inclut ce qui suit et peut inclure une visite de suivi de l’installation :

  • confirmer que l’entreprise est une installation accréditée par l’EEPSTI avec une portée d’accréditation selon les Critères communs;
  • confirmer que les exigences relatives aux conflits d’intérêts sont satisfaites, conformément à la section 3.2 du présent document;
  • confirmer que les exigences en matière de sécurité sont satisfaites, conformément à la section 3.3 du présent document;
  • confirmer que les exigences relatives à l’installation physique ont été satisfaites, notamment l’emplacement, l’espace et l’infrastructure de TI, conformément à la section 3.4 du présent document;
  • confirmer que l’entreprise compte un nombre convenable de membres du personnel technique ayant une connaissance et des compétences de Critères communs, conformément à la section 3.5 du présent document.

2.14 Accorder l'approbation de CECC

Conformément aux conditions de l’ARCC, l’OC et le nouveau CECC signent un accord, dont il sera question à la section 3.6 du présent document. L’OC accorde ensuite au CECC le certificat d’approbation et met à jour le site Web du Schéma en conséquence afin d’indiquer le statut du nouveau CECC.

3 Exigences pour devenir un CECC approuvé

3.1 Aperçu

Dans cette section, nous présentons en détail les exigences qu’un futur CECC doit respecter pour obtenir l’approbation. Ces exigences s’ajoutent à celles qui sont requises pour l’accréditation par le CCN et sont subdivisées en plusieurs catégories, notamment :

  • les exigences relatives aux conflits d’intérêts, qui décrivent le degré de séparation organisationnelle au sein du futur CECC, afin que tous les travaux d’évaluation selon les CC soient réalisés de manière objective, sans influence indue au sein de l’installation;
  • les exigences de sécurité, qui portent sur la capacité de l’entreprise de protéger des renseignements sensibles;
  • les exigences relatives à l’installation physique, qui décrivent l’infrastructure physique et de TI;
  • les exigences en matière de personnel, qui décrivent les compétences techniques du personnel technique de l’entreprise dans le secteur de l’évaluation des Critères communs.

3.2 Exigences relatives aux conflits d'intérêts

Si l’entreprise est contrôlée par une société mère, l’installation doit démontrer qu’il y a une séparation suffisante des contrôles et des influences, de sorte que :

  • la société mère ne peut exercer d’influence indue sur le résultat des activités d’évaluation selon les CC;
  • la société mère ne peut pas accéder de façon inappropriée aux renseignements exclusifs utilisés pendant l’évaluation.

L’entreprise doit avoir mis en place des procédures appropriées pour s’assurer qu’il n’y a pas de conflit d’intérêts entre le personnel qui donne des conseils pour aider un commanditaire à se préparer à l’évaluation de son produit de TI, et le personnel qui effectue l’évaluation proprement dite.

L’entreprise doit disposer de procédures appropriées pour s’assurer que les membres de sa direction n’exercent pas d’influence indue sur les résultats des activités d’évaluation selon les CC.

3.3 Exigences en matière de sécurité

L’entreprise doit disposer au minimum d’une vérification d’organisation désignéeNote de bas de page 1 selon la définition donnée dans le Manuel de la sécurité industrielle de Services publics et Approvisionnement Canada (SPAC). Pour de plus amples renseignements sur ce processus, l’entreprise peut communiquer avec le gestionnaire des opérations. Tout le personnel de l’installation doit à tout le moins avoir fait l’objet d’une vérification approfondie de la fiabilité par SPAC.

3.4 Exigences relatives à l'installation physique

3.4.1 Emplacement et locaux

L’entreprise doit conserver en permanence ses locaux au Canada et doit avoir :

  • un numéro de téléphone;
  • un bureau et de l’équipement suffisants pour accueillir au moins un membre de l’OC qui assurera le contrôle technique de l’évaluation, au besoin.

3.4.2 Infrastructure de TI

L’entreprise doit disposer, ou pouvoir se doter dans un délai raisonnable, d’une infrastructure de TI suffisante, pour appuyer ce qui suit :

  • traitement de textes, pour la production des rapports en Microsoft Word;
  • production de documents en format PDF;
  • courriels sécurisés avec l’OC;
  • accès à Internet;
  • outils spécialisés qui peuvent être requis pour le travail d’évaluation selon les CC.

3.5 Exigences relatives au personnel

L’entreprise doit maintenir au moins trois membres du personnel à qui un certificat d’évaluateur des CC a été accordé. En outre, au moins un membre du personnel doit satisfaire les exigences d’admissibilité à la désignation d’évaluateur des CC en chef ci-dessous :

  • être un membre du personnel du CECC, basé au Canada;
  • avoir assumé le rôle d’évaluateur des CC pendant au moins six mois au cours des deux années précédentes, dans le cadre d’un schéma d’autorisation de certificat de l’ARCC avec lequel le Schéma a un haut niveau de familiarité.

3.6 Entente officielle

Conformément à l’ARCC, le CST doit, à titre d’OC, s’assurer que les CECC respectent les exigences énoncées dans l’Arrangement en établissant pour chaque CECC une entente bien documentée qui décrit toutes les procédures pertinentes, y compris les dispositions visant à protéger la confidentialité des renseignements protégés et les processus d’évaluation et de certification. Chaque installation doit signer cette entente et y souscrire.

4 Maintien de la cote d'approbation d'un CECC

L’OC mène diverses activités afin de s’assurer qu’un CECC approuvé continue de répondre aux critères d’approbation. Ces activités comprennent le contrôle technique de l’évaluation et la vérification des changements de personnel au CECC.

L’omission de corriger les lacunes relevées par l’OC se traduira par la révocation de l’approbation à titre de CECC.

4.1 Contrôle technique des évaluations

Les CECC font l’objet d’un contrôle technique, par l’OC, pour toutes les évaluations des cibles d’évaluation (TOE) et des profils de protection (PP). Grâce à ce processus de contrôle technique, l’OC détermine si le CECC continue de réaliser des évaluations de qualité, ou si des mesures correctives doivent être prises par le CECC.

4.2 Évaluation des changements de personnel

Les CECC doivent informer rapidement l’OC (dans les dix jours ouvrables) de tout changement de propriétaire ou de tout changement lié à la gestion du CECC, ou lorsque des évaluateurs des CC qualifiés quittent le CECC pour quelque raison que ce soit. L’OC évaluera ces changements de personnel afin de déterminer si le CECC continue de respecter les exigences minimales en matière de personnel.

4.3 Maintien de l'accréditation EEPSTI du CECC

Outre les exigences de maintien d’approbation ci-dessus, le CECC doit maintenir en règle son accréditation EEPSTI.

4.4 Retrait et révocation de l'approbation du CECC

L’approbation accordée à un CECC peut être révoquée à la discrétion de l’OC, dans les circonstances suivantes :

  • le CECC n’est pas conforme aux exigences d’approbation du CECC originales et les déficiences identifiées par l’OC n’ont pas été corrigées à l’intérieur du délai indiqué par l’OC;
  • le CECC nuit à la réputation du Schéma, soit par un piètre rendement dans le cadre de ses évaluations, ou par le non-respect des règles du Schéma, y compris la mauvaise utilisation des logos du Schéma et de l’ARCC.

Un CECC peut contester une décision de révocation en s’adressant au gestionnaire, Programmes de l’assurance des produits commerciaux, dans les 20 jours ouvrables suivant la décision originale.

5 Contenu complémentaire

5.1 Liste d'abréviations, d'acronymes et de sigles

CC
Critères communs
CCN
Conseil canadien des normes
CECC
Centre d’évaluation selon les Critères communs
CEM
Méthodologie d’évaluation commune (Common Evaluation Methodology)
CST
Centre de la sécurité des télécommunications
EAL
Niveau d’assurance de l’évaluation (Evaluation Assurance Level)
EEPSTI
Évaluation et essais de produits de sécurité des technologies de l’information
FCE
Formation en cours d’emploi
OC
Organisme de certification
PP
Profil de protection
RTE
Rapport technique d’évaluation
SPAC
Services publics et Approvisionnement Canada
TI
Technologies de l’information
TOE
Cible d’évaluation (Target of Evaluation)

5.2 Références

Numéro Référence
1 Critères communs pour l’évaluation de la sécurité des technologies de l’information (en anglais)
2 CAN-P-4E – Prescriptions générales concernant la compétence des laboratoires d’étalonnage et d’essais
3 CAN-P-1591C – Lignes directrices relatives à l’accréditation des installations d’évaluation et d’essais de produits de sécurité des technologies de l’information (en anglais)
4 Accord CECC – Ce document est un accord officiel qui est signé par l’OC et le CECC. Il décrit les rôles et responsabilités de chaque partie et les modalités pour une participation continue en tant que CECC. Une copie de cet accord peut être obtenue sur demande de l’OC.

Annexe 1 Matrice des compétences de l'évaluateur

Définition des niveaux de compétences et de connaissances :

Dans la matrice des compétences de l’évaluateur ci-dessous et aux fins de l’attribution d’une note en points pour chaque catégorie, les définitions suivantes seront appliquées afin de caractériser le niveau d’expérience/expertise pour les tableaux 2 jusqu’à 4, à partir des renseignements qui se trouvent dans le curriculum vitae (CV) de l’évaluateur éventuel :

  • Familier : La personne a des notions de base sur le sujet (aucun point accordé)
  • Connaissances opérationnelles : La personne a travaillé au moins à un projet d’une durée minimale de quatre mois, et a démontré ses compétences à un superviseur. Cette expérience peut avoir été acquise sur une grande période dans le cadre d’un projet en milieu universitaire. (Note : 1)
  • Connaissances exhaustives : La personne a appliqué ses compétences et ses connaissances pendant au moins deux ans, dans un milieu non universitaire. Expérience acquise pendant des études de maîtrise ou de doctorat, accordé au cas par cas. (Note : 2)
  • Connaissances d’expert : La personne est reconnue dans l’industrie comme un expert dans son domaine. Elle a publié des ouvrages spécialisés et/ou a collaboré à la rédaction de tels ouvrages, a présenté des cours, etc. (Note : 3)

REMARQUE 1 : Les compétences ou l’expérience en tant que superviseur ou gestionnaire ne sont pas considérées comme pertinentes pour le travail effectué par un évaluateur des CC. Les détails fournis devraient être liés de façon directe à l’expérience dans un rôle technique, sans supervision.

REMARQUE 2 : L’estimation de la durée de l’expérience de travail pour chaque catégorie devrait représenter le temps réel passé à l’activité. On peut pour certaines activités les recenser dans des catégories multiples, au cas par cas.

Tableau 1 Formation officielle

Catégorie (choisissez une réponse) Description détaillée Durée
(années/mois)
Cote
Certificat d’études collégiales (1 point pour une technologie ou un certificat technique applicable)      
Baccalauréat (2 points pour un baccalauréat d’une université agréée, en informatique, en génie électrique ou dans un domaine scientifique applicable.)      
Diplôme d’études supérieures (3 points pour une maîtrise ou un doctorat d’une université agréée, en informatique, en génie électrique ou dans un domaine scientifique applicable.)      
Total pour le tableau 1 (maximum de 3 points)  
REMARQUE : Une seule catégorie doit être choisie aux fins de notation de la formation officielle.

Tableau 2 Expérience en matière d’essais

Catégorie Description détaillée Durée
(années/mois)
Cote
Essais du système : comprend les tests au niveau du réseau et les tests d’interopérabilité de différents produits de TI interconnectés.      
Essais de produits de TI : vérification des options et débogage      
Essais de conformité : tests des produits de TI par rapport à des normes définies.      
Essais de vulnérabilité : essais de produits ou de réseaux en fonction des vulnérabilités en matière de sécurité.      
Cours : p. ex. outils de tests automatisés, techniques pratiques de tests de logiciels      
Total pour le tableau 2 (maximum de 4 points)  

Tableau 3 Connaissance en sécurité des TI

Catégorie Description détaillée Durée
(années/mois)
Cote
Politiques et procédures de sécurité des TI : rédaction, élaboration et mise en œuvre      
Évaluation des menaces et des risques : exécution et rédaction d’EMR, choix des mesures de protection      
Sécurité de réseau : IDS, RPV, murs coupe-feu, etc.      
Sécurité des communications : sans fil, cellulaires, etc.      
Cryptographie : algorithmes, protocoles, FIPS 140      
Normes de sécurité des TI : rédaction, mise en œuvre, intégration      
Qualifications professionnelles : (p. ex., CISSP)      
Cours de sécurité des TI : (décrire chacun des cours)      
Total pour le tableau 3 (maximum de 5 points)  

Tableau 4 Développement de produits

Catégorie Description détaillée Durée
(années/mois)
Cote
Conception : rédaction de spécifications fonctionnelles et de conception détaillée      
Programmation : codage des composants, modules, modification des caractéristiques      
Contrôle de version : utilisation des outils de version, procédures de mise en œuvre      
Cours : (p. ex., langages de programmation, techniques de développement logiciel)      
Total pour le tableau 4 (maximum de 3 points)  

Remarques

Notes de bas de page

Note de bas de page 1

La vérification d’organisation désignée est un jugement administratif selon lequel une organisation peut, du point de vue de la sécurité, avoir accès à des renseignements ou à des biens PROTÉGÉ d’un niveau de classification égal ou inférieur à celui de l’attestation qui est consentie.

Retour à la référence de la note de bas de page 1

Dernière mise à jour: