Avant-propos
La présente publication est un document non classifié. Elle remplace la version 4.1 des Exigences et procédures relatives au Programme canadien lié aux Critères communs pour les laboratoires d’essais, datant d’avril 2022.
Courrielcontact@cyber.gc.ca |Téléphone 613-949-7048 or 1‑833‑CYBER‑88
Date d’entrée en vigueur
Le présent document entre en vigueur le 1 april 2023.
Historique des révisions
- 1.0 Publication initiale : Août 2004
- 2.0 Mise à jour majeure visant à refléter la nouvelle structure adoptée pour les guides, les instructions et les procédures fonctionnelles du Programme lié aux Critères communs&nsp;: Septembre 2010
- 3.0 Mise à jour de la matrice des compétences en annexe et ajout de la section Signature de l’entente: Août 2016
- 4.0 Reformatage du modèle de document pour le Centre canadien pour la cybersécurité et mise à jour de la description de certains changements apportés aux processus : Avril 2020
- 4.1 Mise à jour des exigences relatives au personnel des laboratoires et des détails du processus de qualification des évaluatrices et évaluateurs, et retrait de l’annexe sur la matrice des compétences : Avril 2022
- 4.2 Ajout d’éclaircissements sur les exigences relatives à la protection de l’information sensible et mise à jour des références au Programme de sécurité des contrats de Services publics et Approvisionnement Canada (SPAC) : Mars 2023
Vue d'ensemble
Le présent document vise à décrire les exigences et le processus selon lesquels une organisation commerciale (ci-après désignée sous l’appellation « entreprise ») peut devenir un laboratoire d’essais approuvé selon les Critères communs fonctionnant en vertu du Programme canadien lié aux Critères communs (CC).
Il est destiné aux entreprises qui veulent devenir un laboratoire d’essais dans le cadre du Programme canadien lié aux CC. Les commanditaires de l’évaluation (généralement des fournisseurs), les développeuses et développeurs et les consommatrices et consommateurs peuvent également consulter le présent document pour obtenir de l’information utile sur les exigences relatives aux laboratoires d’essais fonctionnant en vertu du Programme canadien lié aux CC.
1 Introduction
Dans le cadre du Programme canadien lié aux CC, les organisations commerciales exploitent des laboratoires d’essais selon les Critères communs pour réaliser les évaluations de sécurité des produits de technologies de l’information (TI).
Le présent document décrit les exigences et procédures pour les laboratoires d’essais fonctionnant en vertu du Programme canadien lié aux CC. Il comprend le processus qu’une organisation commerciale (ci-après désignée sous l’appellation « entreprise ») peut suivre pour devenir un laboratoire d’essais approuvé.
1.1 À propos du Programme canadien lié aux Critères communs
Le Centre canadien pour la cybersécurité (ci-après appelé le Centre pour la cybersécurité) gère le Programme canadien lié aux CC et agit à titre d’organisme de certification. Le Centre pour la cybersécurité est le signataire canadien de l’Arrangement relatif à la reconnaissance des certificats liés aux Critères communs dans le domaine de la sécurité des TI (PDF - en anglais seulement), communément appelé l’Arrangement de reconnaissance des Critères communs (ARCC).
Pour de plus amples renseignements sur le fonctionnement du Programme canadien lié aux CC, veuillez consulter le Manuel qualité du Programme canadien lié aux Critères communs.
Remarque : Un laboratoire d’essais participant au Programme canadien lié aux CC peut également porter le nom de l’ARCC (laboratoire agréé) ou le nom officiel de l’accréditation du Conseil canadien des normes (CCN) (installation d’évaluation et d’essais de produits de sécurité des technologies de l’information [EEPSTI]).
2 Exigences relatives aux laboratoires d’essais
Cette section traite des exigences auxquelles l’entreprise doit se conformer pour devenir un laboratoire d’essais approuvé.
2.1 Accréditation d’installation EEPSTI
Ces exigences visent à s’assurer que les laboratoires d’essais fonctionnent conformément aux prescriptions de la norme ISO/IEC 17025, Exigences générales concernant la compétence des laboratoires d’étalonnages et d’essais.
- 2.1.1. L’entreprise doit détenir une accréditation des installations d’évaluation et d’essais de produits de sécurité des technologies de l’information (EEPSTI) valide délivrée par le Conseil canadien des normes.
Le Conseil canadien des normes et le Centre pour la cybersécurité examineront attentivement la capacité de l’entreprise de satisfaire à toutes les exigences de la norme ISO/IEC 17025 dans le cadre de cette accréditation.
2.2 Exigences relatives aux conflits d’intérêts
Ces exigences visent à s’assurer que l’entreprise effectuera tous les travaux d’évaluation sans influence indue au sein de l’entreprise ou en provenance de l’extérieur.
- 2.2.1. L’entreprise doit disposer de procédures appropriées pour s’assurer que les membres de sa direction n’exercent pas d’influence indue sur les résultats des activités d’évaluation selon les CC.
- 2.2.2. Si l’entreprise est contrôlée par une société mère, l’entreprise doit démontrer qu’il y a une séparation suffisante du contrôle et de l’influence, de sorte que la société mère ne puisse pas :
- exercer d’influence indue sur les résultats des activités d’évaluation selon les CC;
- accéder de façon inappropriée aux renseignements exclusifs de l’évaluation.
- 2.2.3. L’entreprise doit avoir mis en place des procédures appropriées pour s’assurer qu’il n’y a pas de conflit d’intérêts entre le personnel qui donne des conseils pour aider un commanditaire à se préparer à l’évaluation selon les CC de son produit de TI et le personnel qui effectue l’évaluation selon les CC proprement dite.
- 2.2.4. L’entreprise informera le Centre pour la cybersécurité dans les dix jours ouvrables suivant tout changement de propriétaire ou tout changement lié à la gestion de l’entreprise.
2.3 Exigences de sécurité
Ces exigences visent à s’assurer que l’entreprise est en mesure de protéger l’information sensible, particulièrement les renseignements exclusifs d’un fournisseur qui sont communiqués à l’entreprise afin que celle-ci puisse se préparer à l’évaluation du produit selon les CC, puis effectuer cette évaluation.
- 2.3.1. L’entreprise doit disposer d’une vérification d’organisation désignée selon la définition donnée dans le Manuel de la sécurité industrielle de Services publics et Approvisionnement Canada (SPAC). Tous les membres du personnel de l’entreprise à qui l’accès à des renseignements sensibles a été accordé doivent, au minimum, avoir obtenu une cote de fiabilité de SPAC.
- 2.3.2. L’entreprise doit prendre les mesures appropriées pour empêcher tout accès non autorisé à l’information sensible. Elle peut satisfaire cette exigence en obtenant soit une autorisation de détenir des renseignements (ADR) à la suite d’une évaluation réalisée par SPAC, soit une confirmation distincte du Centre pour la cybersécurité que les mesures prises par l’entreprise sont suffisantes afin de protéger l’information sensible dans le cadre de ses activités d’évaluation selon les CC.
2.4 Exigences relatives à l’installation physique
Ces exigences visent à s’assurer que l’entreprise relève de la compétence du Programme canadien lié aux CC.
- 2.4.1. L’entreprise doit maintenir une installation physique permanente au Canada et avoir accès à des bureaux et à de l’équipement qui permettent à un membre du personnel d’effectuer les activités d’évaluation et à un membre du Centre pour la cybersécurité d’assurer le contrôle technique de l’évaluation.
- 2.4.2. L’entreprise doit disposer, ou pouvoir se doter dans un délai raisonnable, d’une infrastructure de TI permettant d’appuyer toutes les fonctions d’évaluation.
2.5 Exigences relatives au personnel
Ces exigences visent à s’assurer que l’entreprise a le personnel qualifié nécessaire pour effectuer une évaluation selon les CC.
- 2.5.1. Au moins deux membres du personnel de l’entreprise doivent être basés au Canada et posséder un certificat d’évaluatrice ou évaluateur valide délivré par le Centre pour la cybersécurité.
- 2.5.2. Lorsqu’une évaluatrice ou un évaluateur qualifié en vertu des CC quitte le laboratoire d’essais, l’entreprise doit en informer le Centre pour la cybersécurité dans les dix jours ouvrables suivant son départ.
2.6 Compétences techniques
Ces exigences visent à s’assurer que l’entreprise a le personnel qualifié nécessaire pour effectuer une évaluation selon les CC.
- 2.6.1. L’entreprise doit réussir une évaluation d’essai (section 3.4) pour un produit de TI approuvé par le Centre pour la cybersécurité et effectuer les activités d’évaluation conformément aux exigences stipulées dans :
- les Instructions du Programme canadien lié aux Critères communs
- les Critères communs pour l’évaluation de la sécurité des technologies de l’information (en anglais seulement)
- la Méthodologie commune pour l’évaluation de la sécurité des technologies de l’information
- un ou plusieurs profils de protection (en anglais seulement) ou profils de protection collaboratifs (en anglais seulement).
- 2.6.2. L’entreprise procédera à toutes les évaluations selon les normes de qualité exigées par le Centre pour la cybersécurité.
3 Procédures pour les laboratoires d’essais
3.1 Devenir un laboratoire d’essais
La présente section décrit les étapes qu’une entreprise doit suivre pour devenir un laboratoire d’essais agréé.
- L’entreprise doit s’assurer qu’elle respecte les exigences relatives aux laboratoires d’essais (section 2).
- Elle doit communiquer avec le Centre pour la cybersécurité à l’adresse contact@cyber.gc.ca pour faire part de son intérêt à devenir un laboratoire d’essais et fournir les renseignements suivants :
- nom légal complet de l’entreprise;
- emplacement du laboratoire d’essais;
- coordonnées du point de contact principal.
- Le Centre pour la cybersécurité confirmera s’il accepte de nouvelles demandes pour devenir un laboratoire d’essais.
- L’entreprise doit démontrer qu’elle satisfait toutes les exigences relatives aux laboratoires d’essais (section 2), y compris :
- communiquer avec le Conseil canadien des normes pour obtenir une accréditation ISO/IEC 17025 avec une portée d’EEPSTI;
- s’adresser au Centre pour la cybersécurité pour les autres exigences.
- L’entreprise doit établir une entente officielle avec le Centre pour la cybersécurité afin de devenir un laboratoire d’essais agréé.
3.2 Maintenir un laboratoire d’essais
Les entreprises doivent continuer de répondre à toutes les exigences pour conserver le statut de laboratoire d’essais approuvé. L’approbation accordée à l’entreprise pour servir de laboratoire d’essais pourrait être révoquée si ce dernier ne satisfait pas à toutes les exigences ou n’arrive pas à remédier aux lacunes relevées par le Centre pour la cybersécurité.
Le Centre pour la cybersécurité pourrait révoquer l’approbation d’une entreprise dans les circonstances suivantes :
- l’entreprise ne répond pas aux exigences relatives aux laboratoires d’essais et n’a pas remédié aux lacunes relevées par le Centre pour la cybersécurité dans les délais prescrits;
- l’entreprise nuit à la réputation du Programme canadien lié aux CC, soit par un piètre rendement dans le cadre de ses évaluations, soit par le non-respect des règles du Programme canadien lié aux CC, y compris, sans s’y limiter, la mauvaise utilisation des logos associés au Programme canadien lié aux CC ou à l’ARCC.
3.3 Qualifier les évaluatrices et évaluateurs pour les Critères communs
Le Centre pour la cybersécurité est responsable de la qualification des évaluatrices et évaluateurs pour le Programme canadien lié aux CC. Afin de devenir évaluatrices ou évaluateurs, les membres du personnel d’un laboratoire d’essais doivent répondre aux deux exigences de base suivantes :
- acquérir les compétences requises en matière d’évaluation en suivant un plan personnalisé d’apprentissage et de perfectionnement et en le terminant avec succès;
- réussir l’examen de l’évaluatrice ou évaluateur donné par le Centre pour la cybersécurité.
Pour de plus amples renseignements sur la qualification des évaluatrices et évaluateurs, l’entreprise doit communiquer par courriel avec le Centre pour la cybersécurité à contact@cyber.gc.ca.
3.4 Effectuer une évaluation d’essai
L’objectif de l’évaluation d’essai est de démontrer que l’entreprise peut se conformer à l’exigence 2.6.1. Par ailleurs, l’évaluation d’essai représente la dernière étape des essais d’aptitude qui compose l’accréditation EESTI (exigence 2.1.1).
Dans le cadre de l’évaluation d’essai, l’entreprise évalue un produit de TI que le Centre pour la cybersécurité juge adéquat. Le produit de TI doit respecter les exigences d’admissibilité énoncées dans les Instructions du Programme canadien lié aux Critères communs et le Centre pour la cybersécurité s’assurera que la portée des fonctions de sécurité du produit en question est suffisante pour que l’entreprise puisse démontrer sa capacité d’évaluation. L’entreprise gère tous les arrangements commerciaux avec le commanditaire de l’évaluation réalisée à titre d’essai.
Au cours de l’évaluation d’essai, le Centre pour la cybersécurité examinera certaines activités de façon plus détaillée que lors des évaluations courantes selon les CC. Le Centre pour la cybersécurité évaluera la capacité de l’entreprise à effectuer ce qui suit :
- mener à bien toutes les activités d’évaluation;
- produire les données d’évaluation (dont les rapports d’observation) pendant l’évaluation;
- répondre aux rapports d’observation formulés par le Centre pour la cybersécurité;
- préparer un rapport technique d’évaluation dans lequel sont consignées les constatations;
- travailler en équipe pour mener à bien l’évaluation.
S’il estime que l’évaluation réalisée par l’entreprise à titre d’essai est satisfaisante, le Centre pour la cybersécurité l’ajoutera à la liste des produits certifiés publiée sur le portail international des Critères communs. Dans l’évaluation du rendement de l’entreprise, le Centre pour la cybersécurité tiendra compte du fait que l’évaluation d’essai constitue probablement une expérience d’apprentissage pour l’entreprise.
Si l’évaluation d’essai ne peut être achevée en raison de l’incapacité du produit de TI ou du commanditaire de l’évaluation de satisfaire aux exigences liées aux CC, le Centre pour la cybersécurité peut exiger que l’entreprise procède à une autre évaluation d’essai. L’admissibilité à la deuxième évaluation d’essai reposera sur la facilité avec laquelle le Centre pour la cybersécurité a été en mesure d’observer les diverses activités d’évaluation effectuées par l’entreprise et d’interagir avec celle-ci.
Si le rendement de l’entreprise est jugé insatisfaisant, le Centre pour la cybersécurité n’approuvera pas sa demande pour en faire un laboratoire d’essais.
4 Contenu complémentaire
4.1 Liste des acronymes, des abréviations et des sigles
- Acronyme, abréviation ou sigle
- Définition
- ARCC
- Arrangement relatif à la reconnaissance des certificats liés aux Critères communs
- CC
- Critères communs
- EEPSTI
- Évaluation et essais de produits de sécurité des technologies de l’information
- ISO/IEC
- Organisation internationale de normalisation (International Organization for Standardization) / Commission électrotechnique internationale (International Electrotechnical Commission)
- SPAC
- Services publics et Approvisionnement Canada
- TI
- Technologies de l’information