Sélection de la langue

Government of Canada / Gouvernement du Canada

Instructions du Programme canadien lié aux Critères communs

De : Centre canadien pour la cybersécurité

Avant-propos

La publication Instructions du Programme canadien lié aux Critères communs est un document NON CLASSIFIÉ destiné aux laboratoires d’essais agréés en vertu du programme canadien. Elle remplace toute instruction antérieure relative au Programme canadien lié aux Critères communs, ayant été publiée par le Centre canadien pour la cybersécurité ou par le Centre de la sécurité des télécommunications.

Date d’entrée en vigueur

Le présent document entre en vigueur le 8 mai 2024.

  • Historique des modifications
    • 1.0 - 30 septembre 2019
      Révision initiale d’un ensemble harmonisé d’instructions relatives au programme :
      • regroupement de toutes les instructions du Schéma en un seul document;
      • reformatage du document conformément au modèle du Centre canadien pour la cybersécurité;
      • mise à jour du contenu des instructions afin de tenir compte des changements apportés au processus.
    •  
    • 1.1 - 11 juin 2021
      Révision de la section traitant des fonctionnalités cryptographiques.
    •  
    • 1.2 - 25 octobre 2021
    • Ajout des sections « Fonctionnalité de base » et « Fonctionnalité essentielle », « Tests effectués à distance » et « Évaluation et correction des vulnérabilités ».
    •  
    • 1.3 - 6 décembre 2021
      Révision de la section « Admissibilité des évaluations », ajout d’un document de référence pour la cryptographie approuvée, mise à jour des exigences relatives aux jalons des évaluations visant à retirer la confirmation de l’approbation obtenue du Centre pour la cybersécurité, modification de la date du jalon des tests à PiE + 4,5 mois, retrait de la proposition de tests à distance de l’étape d’admissibilité, harmonisation de la terminologie.
    •  
    • 1.4 - 31 décembre 2021
      Intégration des commentaires découlant de l’examen de l’organisme de certification.
    •  
    • 1.5 - 7 janvier 2022
      Mise à jour de la section Admissibilité.
    •  
    • 1.7 - 25 mars 2022
    • Mises à jour basées sur les commentaires formulés par les laboratoires d’essais.
    •  
    • 1.8 - 8 juin 2022
      Mises à jour basées sur les commentaires formulés par les laboratoires d’essais.
    •  
    • 1.9 - 20 janvier 2023
      Mises à jour des sections sur le non-respect des délais prescrits pour les jalons et sur les exigences cryptographiques des évaluations de conformité au EAL dont la fonctionnalité principale du produit est la cryptographie.
    •  
    • 2.0 - 12 février 2023
    • Plusieurs changements mineurs apportés par souci de clarté et d’uniformité.
    •  
    • 2.1 - 29 novembre 2023
    • Modifications apportées au résultat de l’examen d’une vérification interne.
    •  
    • 2.2 - 8 mai 2024
    • Changements rédactionnels basés sur les commentaires formulés par les laboratoires d’essais.

Vue d’ensemble

Le présent document contient toutes les instructions relatives aux évaluations effectuées en vertu du Programme canadien lié aux Critères communs.

Table des matières

1 Introduction

Les Critères communs pour l’évaluation de la sécurité des technologies de l’information (aussi appelés Critères communs ou CC) sont une norme internationale qui permet de préciser les exigences de sécurité des produits de technologies de l’information (TI). Le Centre canadien pour la cybersécurité (ci-après appelé CCC ou Centre pour la cybersécurité) agit à titre d’organisme de certification (OC) pour les évaluations selon les Critères communs effectuées au Canada.
Le présent document procure aux centres d’évaluation selon les Critères communs (ci-après appelés laboratoires d’essais) de plus amples détails sur les évaluations réalisées en vertu du programme canadien. Pour obtenir de l’information générale sur le Programme canadien lié aux Critères communs, prière de visiter le site Web des Critères communs du Centre pour la cybersécurité.

Haut de la page

2 Admissibilité des évaluations

Le Centre pour la cybersécurité accepte les évaluations en vertu du programme des Critères communs dans l’ordre de priorité suivant :

  1. Les évaluations des profils de protection en vertu des Critères communs, notamment :
  2. Les types de technologies qui ne conviennent pas aux profils de protection (autres évaluations prises en compte dans la portée de l’ARCC). Au moment de rédiger le présent document, ces évaluations pouvaient atteindre le niveau d’assurance de l’évaluation (EAL pour Evaluation Assurance Level) 2.

Le Centre pour la cybersécurité pourra également envisager au cas par cas s’il convient d’accepter des évaluations qui dépassent la portée de l’ARCC, notamment les évaluations avec un niveau d’assurance EAL 3 ou EAL 4.

Haut de la page

3 Fonctionnalités de base et essentielles

Pour les évaluations conformes au niveau d’assurance de l’évaluation (EAL), où les spécifications des exigences fonctionnelles de sécurité (SFR pour Security Functional Requirement) ne sont pas prédéterminées dans un profil de protection, il est important de veiller à ce que l’évaluation aborde un ensemble pertinent de fonctionnalités de sécurité. Cela comprend la fonctionnalité de base et la fonctionnalité essentielle décrites ci-dessous.

3.1 Fonctionnalités de base

Par fonctionnalité de base, on entend l’objectif principal d’un produit en fonction de la façon dont il est mis en marché. Il pourrait être nécessaire de créer des SFR étendues dans les cas où les fonctionnalités de base du produit ne peuvent pas être représentées par les SFR existantes. Toute fonctionnalité ou interface incluse devrait être liée à la cybersécurité.

3.2 Fonctionnalités essentielles

Par fonctionnalité essentielle, on entend une fonctionnalité que le Centre pour la cybersécurité juge importante pour la cybersécurité du produit (selon la nature du produit).

3.3 Spécification des exigences

Les évaluations doivent inclure les fonctionnalités de base du produit et toutes les fonctionnalités essentielles. Il incombe d’ailleurs au laboratoire d’essais de fournir une justification pour toute lacune relevée.

Haut de la page

4 Échéanciers des évaluations

Le Centre pour la cybersécurité reconnaît qu’il est impératif que l’évaluation soit effectuée en temps opportun, puisque les clients sont tenus de fournir l’assurance de la sécurité des versions actuelles de leurs produits de TI. Par conséquent, il est important que la durée d’évaluation des produits tienne compte du cycle de vie des produits modernes qui peut être plus court.

Le Centre pour la cybersécurité estime que les évaluations modernes reposent sur une préparation rigoureuse des évaluations, notamment l’analyse fonctionnelle des lacunes. C’est pourquoi il a mis en place des jalons et des échéanciers auxquels les laboratoires d’essais devront se conformer au moment d’effectuer les évaluations.

4.1 Jalons des évaluations

Le Centre pour la cybersécurité reconnaît les jalons d’évaluation suivants :

  1. Cible de sécurité;
  2. Conception et entropie;
  3. Tests;
  4. Évaluation finale.

4.1.1 Jalon de la cible de sécurité

Pour se conformer au jalon de la cible de sécurité, le laboratoire d’essais doit réaliser toutes les activités d’évaluation associées à la classe d’assurance Évaluation de la cible de sécurité.

Une fois le jalon de la cible de sécurité atteint, le Centre pour la cybersécurité ajoute le produit à la liste des produits en cours d’évaluation du Programme lié aux CC. La date stipulée dans la liste des produits en cours d’évaluation du Programme lié aux CC. La date stipulée dans la liste des Produits en cours d’évaluation (PiE pour Product in Evaluation) correspondra à la date d’ajout du produit en question.

4.1.2 Jalon de la conception et de l’entropie

Pour se conformer au jalon de la conception et de l’entropie, le laboratoire d’essais doit réaliser toutes les activités d’évaluation associées à la classe d’assurance Développement et une analyse de l’entropie dès lors qu’une telle analyse est nécessaire pour se conformer au profil de protection (PP) mentionné.

4.1.3 Jalon des tests

Pour se conformer au jalon des tests, le laboratoire d’essais doit procéder à tous les tests fonctionnels et de pénétration requis.

4.1.4 Jalon de l’évaluation finale

Pour se conformer au jalon de l’évaluation finale, le laboratoire d’essais doit réaliser toutes les activités d’évaluation.

4.2 Délais prescrits pour les jalons

Le Centre pour la cybersécurité impose les délais suivants aux jalons d’évaluation décrits à la section 4.1 :

Jalon Échéance
Conception et entropie Date PiE + 2 mois
Tests Date PiE + 4,5 mois
Évaluation finale Date PiE + 6 mois

Afin de s’assurer que le Centre pour la cybersécurité a suffisamment de temps pour passer en revue les résultats de l’évaluation finale, il doit recevoir ces résultats au plus tard dans les deux semaines précédant le délai prescrit pour le jalon.

4.3 Demande de prolongation des délais prescrits pour les jalons

Le Centre pour la cybersécurité considérera les demandes transmises par les laboratoires d’essais pour obtenir une prolongation des délais prescrits pour les jalons. Le laboratoire d’essais doit expliquer en détail la raison pour laquelle il ne peut respecter l’échéance, proposer une période de prolongation raisonnable et décrire les mesures qu’il prendra pour se conformer à cette nouvelle échéance.

4.4 Non-respect des délais prescrits pour les jalons

En cas de non-respect du délai prescrit pour un jalon, et en tenant compte de toute prolongation des délais prescrits accordée précédemment, le Centre pour la cybersécurité retirera le produit de TI de la liste des produits en cours d’évaluation. Cela dit, le laboratoire d’essais pourra continuer l’évaluation, qui demeurera admissible aux fins de certification.

Le Centre pour la cybersécurité se réserve le droit de mettre fin à l’évaluation. Les facteurs pouvant influencer une telle décision comprennent l’ampleur des retards liés à l’évaluation ou des changements apportés aux paramètres d’évaluation que le Centre pour la cybersécurité juge inacceptable.

Haut de la page

5 Évaluation des fonctionnalités cryptographiques

 

Le Centre pour la cybersécurité se base sur les résultats du Programme de validation des modules cryptographiques (PVMC) et du Programme de validation des algorithmes cryptographiques (PVAC) pour veiller à ce que les évaluatrices et évaluateurs puissent évaluer correctement les algorithmes et les modules cryptographiques visés par l’évaluation.

Remarque : Le Centre pour la cybersécurité gère le PVMC et le PVAC en partenariat avec le National Institute of Standards and Technology (NIST) des États-Unis.

5.1 Fonctionnalités cryptographiques

  • Évaluations de conformité au PP : un certificat du PVAC est requis pour la cryptographie mentionnée.
  • Évaluations de conformé au EAL dont les fonctionnalités de base du produit reposent sur la cryptographie : un ou des certificats du PVAC sont requis pour la cryptographie mentionnée, et les fonctionnalités cryptographiques pertinentes doivent être exemplifiées dans la cible de sécurité.
  • Évaluations de conformité au EAL dont l’environnement offre la cryptographie nécessaire à la prise en charge des fonctionnalités du produit : un certificat du PVAC est requis.
  • Évaluations de conformité au EAL dont le produit fournit la cryptographie utilisée pour prendre en charge les fonctionnalités : un certificat du PVAC peut être utilisé pour la cryptographie mentionnée. Dans certaines conditions, la mise à l’essai au moyen d’une implémentation valide connue peut être acceptable plutôt que le PVAC.

Dans tous les cas, seule la cryptographie approuvée par le Centre pour la cybersécurité doit être utilisée. L’ITSP.40.111, Algorithmes cryptographiques pour l’information NON CLASSIFIÉ, PROTÉGÉ A, et PROTÉGÉ B, décrit les algorithmes cryptographiques approuvés et les méthodes d’utilisation appropriées.

5.2 Vérification des versions cryptographiques

Le Centre pour la cybersécurité demande aux évaluatrices et évaluateurs de vérifier la présence de toutes les versions cryptographiques mentionnées par le fournisseur. Les laboratoires d’essais ne peuvent se contenter de faire mention du certificat du PVAC. Cette vérification peut s’effectuer de différentes façons selon le type de version et les accès aux fonctions sous-jacentes du produit qui ont été accordés à l’évaluatrice ou évaluateur.

5.3 Évaluation d’entropie

Le Centre pour la cybersécurité exige qu’une évaluation d’entropie soit réalisée dès que l’on fait mention d’une annonce de conformité à un profil de protection comportant des exigences relatives à la génération de nombres aléatoires (RNG pour Random Number Generator) par le produit. Ces profils de protection énoncent clairement les cas où la cible de sécurité doit mentionner les fonctions de génération de nombres aléatoires.

Haut de la page

6 Tests effectués à distance

On s’attend à ce que les laboratoires d’essais testent les produits dans leurs installations. Dans des circonstances exceptionnelles, il pourrait être impossible de le faire. Vous trouverez ci-dessous les conditions dans lesquelles les laboratoires d’essais sont autorisés à tester les produits à distance et les exigences qu’ils devront respecter.

6.1 Conditions

Dans des circonstances exceptionnelles, les laboratoires d’essais peuvent demander d’effectuer des tests à distance s’ils se trouvent dans les situations suivantes :

  • si les coûts associés à la mise à l’essai, à l’expédition et à la configuration du produit sont prohibitifs;
  • si la configuration ou l’environnement du produit est extrêmement complexe et exige un soutien considérable de la développeuse ou du développeur;
  • si la mise à l’essai exige des outils ou de l’équipement spécialisés que le fournisseur possède, mais ne peut fournir au laboratoire d’essais; ou
  • autres conditions sujettes à l’approbation du Centre pour la cybersécurité.

6.2 Exigences

Afin d’obtenir l’approbation du Centre pour la cybersécurité d’effectuer des tests à distance, le laboratoire d’essais doit fournir les détails suivants :

  • une justification détaillée :
    • si on soulève la question des coûts, fournir une ventilation générale des coûts associés;
    • si on soulève la question de la complexité, expliquer pourquoi l’environnement ou la configuration du produit est extrêmement complexe;
    • si on soulève l’obligation d’utiliser des outils spécialisés, fournir les détails relatifs aux outils et la raison pour laquelle le laboratoire d’essais ne peut pas se les procurer;
  • une explication de la façon dont l’évaluatrice ou évaluateur se conformera aux exigences de AGD_PRE;
  • comment l’évaluatrice ou évaluateur effectuera les tests;
  • comment l’évaluatrice ou évaluateur assurera le contrôle continu de l’environnement;
  • les mesures qui seront prises pour garantir la présence de témoins.

Les demandes de tests à distance doivent être présentées le plus tôt possible, préférablement pendant l’étape d’admissibilité. Le Centre pour la cybersécurité accorde l’approbation finale pour toutes les demandes de tests à distance.

Haut de la page

7 Évaluation et correction des vulnérabilités

Les produits de TI pour lesquels un certificat des Critères communs est délivré ne doivent pas contenir de vulnérabilités non corrigées connues touchant la sécurité.

7.1 Évaluation

Toutes les vulnérabilités potentielles relevées durant la recherche dans le domaine public ou le processus automatisé de découverte basée sur des outils doivent être évaluées par le laboratoire d’essais selon les critères établis par le Centre pour la cybersécurité. Le processus d’évaluation doit être suffisamment détaillé pour déterminer si le produit et ses composants sont exempts de vulnérabilités touchant la sécurité.

7.2 Correction

Il est impératif de corriger toute vulnérabilité réelle qui a été relevée dans le produit évalué. S’il existe un correctif du fournisseur permettant de corriger la vulnérabilité, ce correctif doit être appliqué. Si le fournisseur n’offre aucun correctif, on peut gérer les vulnérabilités en adoptant l’une des approches suivantes :

  • supprimer la fonctionnalité touchée (option privilégiée);
  • désactiver la fonctionnalité touchée.

Le Centre pour la cybersécurité accorde l’approbation finale pour toutes les approches adoptées visant à corriger les vulnérabilités.

Haut de la page

8 Contenu complémentaire

8.1 Acronyme, abréviation ou sigle Définition

ARCC
Arrangement de reconnaissance des Critères communs
CC
Critères communs
CST
Centre de la sécurité des télécommunications
EAL
Niveau d’assurance de l’évaluation (Evaluation Assurance Level)
GC
Gouvernement du Canada
NIST
National Institute of Standards and Technology
PiE
Produit en cours d’évaluation (Product in Evaluation)
PP
Profil de protection
PVAC
Programme de validation des algorithmes cryptographiques
PVMC
Programme de validation des modules cryptographiques
RNG
Génération de nombres aléatoires (Random Number Generation)
SFR
Exigence fonctionnelle de sécurité (Security Functional Requirement)
ST
Cible de sécurité (Security Target)
TI
Technologies de l’information
Date de modification :