Manuel qualité v4.2

Avant-propos

La présente publication est un document NON CLASSIFIÉ. Elle remplace la version 4.1, datée de juin 2022, du Schéma canadien lié aux Critères communs : Manuel qualité.

Date d’entrée en vigueur

La présente publication entre en vigueur immédiatement.

Historique des révisions

1. 1.0 Première diffusion publique : Août 2004
2. 2.0 Mise à jour majeure visant à refléter la nouvelle structure adoptée pour les guides, les instructions et les procédures fonctionnelles du Programme lié aux Critères communs : Septembre 2010
3. 3.0 Modification des processus d’admissibilité des évaluations et d’acceptation des évaluations : Août 2016
4. 3.1 Fusion des sections décrivant les approches de gestion des documents et des dossiers. Mise à jour de la section sur l’examen périodique des activités : Octobre 2016
5. 4.0 Révision importante pour mieux harmoniser le document avec les exigences de l’Arrangement de reconnaissance des Critères communs (ARCC) et les pratiques de publication du Centre pour la cybersécurité : Mars 2020
6. 4.1 Plusieurs modifications de contenu : Juin 2022
7. 4.2 Mises à jour pour refléter le contenu actuel lié à la lettre d’utilisation autorisée pour les certificats de produit et la marque de certification liée aux Critères communs; mise à jour des responsabilités liées aux rôles clés au sein de l’organisme de certification (OC) : Avril 2023

Vue d'ensemble

Le présent document est le manuel de qualité du Programme canadien lié aux Critères communs, lequel est administré par le Centre canadien pour la cybersécurité. Ce document décrit l’organisation et les politiques du programme visant à satisfaire aux obligations internationales de l’Arrangement relatif à la reconnaissance des certificats liés aux Critères communs dans le domaine de la sécurité des technologies de l’information (en anglais seulement).

Table des matières

• 1 Introduction
• 2 Organisme de certification
• 3 Personnel de l’organisme de certification
• 4 Activités de l’organisme de certification
• 5 Plaintes, différends et appels
• 6 Utilisation des certificats, des marques et des logos de certification
• 7 Contenu complémentaire

Liste des figures

• Figure 1 Organigramme de l’organisme de certification

1 Introduction

Le présent document décrit le fonctionnement du Programme canadien lié aux Critères communs, un programme de test des technologies de l’information (TI) fondé sur la norme internationale Critères communs pour l’évaluation de la sécurité des technologies de l’information (en anglais seulement), aussi appelée Critères communs ou CC), qui permet aux laboratoires d'essais agréés d’évaluer la cybersécurité des produits de TI. Les utilisatrices et utilisateurs de produits de TI peuvent avoir d'avantage confiance dans la sécurité de ces produits en sachant que ceux-ci on été assujettis aux évaluations selon les Critères communs.

Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité ou CCC) relève du Centre de la sécurité des télécommunications (CST). Il gère et applique le Programme canadien lié aux Critères communs et agit à titre d’organisme de certification; il encadre les évaluations effectuées par les installations commerciales d’évaluation de la sécurité des TI (ci‑après désignés par le terme « laboratoire d'essais ») pour en assurer la qualité.

Le CST est mandaté par le gouvernement du Canada pour agir à titre de signataire de l’Arrangement international relatif à la reconnaissance des certificats liés aux Critères communs dans le domaine de la sécurité des technologies de l’information (ARCC) (en anglais seulement) , qui établit un cadre international de reconnaissance mutuelle des résultats des évaluations réalisées selon les Critères communs dans les pays participants.

D’autres pays signataires de l’ARCC reconnaissent les certificats canadiens de produits liés aux Critères communs. Ce processus de reconnaissance mutuelle permet à un fournisseur de faire évaluer ses produits de TI dans un laboratoire d'essais du pays de son choix, plutôt que de passer de multiples évaluations redondantes dans plusieurs pays.

1.1 Auditoire

Le présent document s’adresse principalement au personnel de l’organisme de certification, qui a la responsabilité directe de veiller à la qualité du Programme canadien lié aux Critères communs. Il s’adresse également aux laboratoires d’essais et aux commanditaires des évaluations (fournisseurs de produits), car ils ont un intérêt direct dans la réussite des certifications, et il peut être à leur avantage de bien comprendre les procédures mises en place par l’organisme de certification pour assurer la qualité. Ce document pourrait également s’adresser aux utilisatrices et utilisateurs de produits de sécurité des TI, ainsi qu’aux autres signataires de l’ARCC.

1.2 Factteurs politiques

Le présent document satisfait aux exigences de l’ARCC concernant les organismes de certification.

1.3 Survol du document

Le présent document compte les parties suivantes :

• la section 2, qui décrit l’organisme de certification;
• la section 3, qui décrit l’organisme de l’organisation de certification et son personnel;
• la section 4, qui décrit les activités de l’organisme de certification;
• la section 5, qui décrit comment l’organisme de certification résout les différends avec les participants;
• la section 6, qui décrit comment l’organisme de certification protège la marque des Critères communs.

2 Organisme de certification

2.1 Aperçu

Le Centre pour la cybersécurité est chargé de pourvoir l’organisme de certification en personnel. Ainsi, tous les membres du personnel de l’organisme de certification sont des employées et employés du gouvernement du Canada et sont donc assujettis aux politiques, aux règles et aux règlements applicables du gouvernement du Canada, y compris ceux qui traitent de la protection des renseignements sensibles et des conflits d’intérêts. Dans le cadre de son rôle d’organisme de certification, le Centre pour la cybersécurité remplit plusieurs fonctions, notamment les suivantes :

• l’approbation des laboratoires d’essais aux fins du Programme canadien lié aux Critères communs;
• la qualification des évaluatrices et évaluateurs dans les laboratoires d’essais;
• le contrôle technique des évaluations;
• la délivrance et le retrait des certificats liés aux Critères communs;
• la production des rapports de certification;
• la production des rapports de maintien de l’assurance;
• la tenue d’une liste de produits certifiés pour les évaluations réalisées dans le cadre du programme canadien lié aux Critères communs;
• la représentation du Canada à titre de signataire de l’ARCC.

2.2 Statut juridique et pouvoirs

Le Centre pour la cybersécurité relève du Centre de la sécurité des télécommunications (CST), un ministère du gouvernement du Canada qui, en vertu de la Loi sur le Centre de la sécurité des télécommunications, agit à titre d’autorité technique nationale en matière de cybersécurité et d’assurance de l’information. Le gouvernement du Canada fournit le financement nécessaire au fonctionnement du Programme lié aux Critères communs suivant la responsabilité du Centre pour la cybersécurité de fournir des services contribuant à la protection de l’information électronique et des infrastructures d’information des institutions fédérales canadiennes, et de celles qui sont désignées comme étant importantes par le ministre du CST.

2.3 Communication avec l’organisme de certification

Le Centre pour la cybersécurité administre le Programme canadien lié aux Critères communs, et la principale personne-ressource pour les demandes de renseignements externes est la superviseure ou le superviseur du Programme lié aux Critères communs. Les lecteurs peuvent communiquer avec le programme comme suit :

Par la poste:
Critères communs
a/s du Centre canadien pour la cybersécurité
C.P. 9703, Terminus
Ottawa (Ontario) K1G 3Z4
Canada
Par courriel contact@cyber.gc.ca

2.4 Politique de maintien de la qualité

Le Centre pour la cybersécurité s’engage à veiller à ce que son personnel mène toutes les activités de l’organisme de certification conformément aux normes exigées par l’ARCC. Le Centre pour la cybersécurité s’attend à ce que tous les employés et employées s’acquittent de leurs fonctions avec intégrité, impartialité et objectivité conformément aux politiques et aux procédures énoncées dans le système de gestion de la qualité.

2.5 Frais de certification

Le Centre pour la cybersécurité veille à ce que ses services soient disponibles sans condition financière excessive en ne facturant pas ses services de certification selon les Critères communs.

2.6 Politique de non-discrimination

Le Centre pour la cybersécurité assure le fonctionnement et l’administration non discriminatoires des services et des fonctions de l’organisme de certification, et n’impose aux demandeurs aucune condition financière (ou autre) qui soit excessive.

2.7 Impartialité, valeurs et éthique

Tous les membres du personnel de l’organisme de certification doivent exécuter les tâches qui leur sont attribuées d’une manière impartiale, objective et équitable. En tant qu’employées et employés du CST, tous les membres du personnel de l’organisme de certification sont assujettis à la Charte d’éthique du CST, qui comprend des lignes directrices sur les conflits d’intérêts qui répondent à l’exigence C.2 de l’ARCC.

2.8 Examen des activités réalisé par la direction

Les membres de la direction du Centre pour la cybersécurité effectuent des examens périodiques de toutes les activités de l’organisme de certification. Ces examens visent à évaluer l’efficacité et la pertinence des politiques et procédures de l’organisme de certification, et à déterminer si l’organisme de certification continue de répondre aux exigences du gouvernement du Canada et de partager les objectifs de l’ARCC.

3 Personnel de l’organisme de certification

3.1 Organisation

Le Programme canadien lié aux Critères communs comporte les rôles suivants :

3.2 Rôles et responsabilités

Pour veiller à ce que le personnel s’acquitte de ses tâches de manière efficace et efficiente, le présent document définit les responsabilités, ainsi que les exigences minimales en matière d’études, d’expérience et de connaissances pertinentes du personnel de l’organisme de certification.

3.2.1 Tout le personnel de l’organisme de certification

Tous les membres du personnel de l’organisme de certification doivent suivre les directives fournies dans la documentation de l’organisme de certification. Le personnel doit s’assurer que la superviseure ou le superviseur du Programme canadien lié aux Critères communs est au courant de toute lacune ou erreur dans la documentation du système de gestion de la qualité.

3.2.2 Directrice ou directeur, Programmes d’atténuation des risques

La directrice ou le directeur, Programmes d’atténuation des risques, dirige l’organisme de certification; il est aussi le cadre supérieur responsable de la participation du Canada au programme international de l’ARCC. L’organigramme dans la section 3.1 montre la structure hiérarchique, selon laquelle la directrice ou le directeur, Programmes d’atténuation des risques, relève des cadres supérieurs du Centre canadien pour la cybersécurité. La directrice ou le directeur est responsable de ce qui suit  :

• approuver l’orientation stratégique du programme;
• approuver les opérations et les activités du programme.

3.2.3 Gestionnaire, Assurance et normes des produits

La ou le gestionnaire, Assurance et normes des produits, est l’autorité qui délivre les certificats pour le programme et est responsable du déroulement efficace et efficient des activités. Il est chargé notamment de ce qui suit :

• communiquer l’orientation stratégique à la superviseure ou au superviseur du programme;
• superviser les activités de gestion de programme exercées par la superviseure ou le superviseur du programme;
• assurer l’évolution du système de gestion de la qualité;
• passer en revue les commentaires formulés dans le cadre des examens périodiques de la direction;
• traiter les plaintes, les différends et les appels au sein de l’organisme de certification.

Ce rôle exige des connaissances étendues dans le domaine des TI et de la sécurité des TI qui doivent avoir été acquises suivant une combinaison d’études officielles et d’expérience pertinente.

3.2.4 Superviseure ou superviseur, Programme lié aux Critères communs

La superviseure ou le superviseur est responsable de ce qui suit :

• exercer les tâches de la ou du gestionnaire des opérations et de la ou du gestionnaire de la qualité pour le programme;
• agir à titre de point de liaison principal pour les questions d’ordre technique et non technique;
• transmettre les directives techniques et administratives au personnel :
  • veiller à ce que le personnel de l’organisme de certification comprenne son rôle et ses responsabilités,
  • définir les exigences pour le contrôle technique des évaluations,
  • s’assurer que le document relatif aux méthodes d’évaluation et de certification est exact et à jour;
• gérer les activités quotidiennes de certification du programme :
  • accepter de nouvelles évaluations dans le programme,
  • affecter les certificatrices et certificateurs aux évaluations et aux activités de continuité de l’assurance,
  • produire des rapports de certification et des rapports de maintien;
• Surveiller le rendement et le fonctionnement du système de gestion de la qualité :
  • signaler les problèmes en remontant la chaîne de gestion,
  • effectuer des examens périodiques de la direction
  • mettre en œuvre les changements découlant de l’examen interne ou externe,
  • assurer le suivi et la surveillance de tous les rapports de non-conformité,
  • veiller à ce que des mesures correctives et préventives soient prises au besoin;
• superviser les activités des laboratoires d’essais :
  • valider les dossiers de candidature des membres du personnel des laboratoires d’essais pour agir à titre d’apprenties évaluatrices ou apprentis évaluateurs,
  • confirmer l’admissibilité des membres du personnel des laboratoires d’essais à passer l’examen de l’évaluatrice ou évaluateur,
  • noter l’examen de l’évaluatrice ou évaluateur, et formuler des recommandations à la ou au gestionnaire pour la délivrance d’un certificat d’évaluatrice ou évaluateur aux candidates et candidats qui ont réussi l’examen,
  • affecter des évaluatrices et évaluateurs techniques qualifiés pour assister le Conseil canadien des normes (CCN) aux fins d’accréditation ou de réaccréditation des laboratoires d’essais selon les prescriptions du Guide ISO/IEC 17025;
• examiner périodiquement l’efficacité des politiques, des lignes directrices et des procédures existantes, puis créer ou perfectionner des approches, le cas échéant;
• agir à titre de principale personne-ressource chargée de suivre les plaintes, les différends et les appels jusqu’au terme de leur traitement;
• représenter le programme au sein de comités internationaux de l’ARCC, notamment le conseil de développement, le sous-comité exécutif et le comité de gestion.

Ce rôle exige ce qui suit :

• diplôme universitaire ou collégial en informatique, en génie informatique/électrique ou en mathématiques, ou encore connaissances équivalentes acquises dans le cadre d’une expérience professionnelle pertinente;
• connaissance approfondie des théories et des principes de sécurité des TI, d’évaluation de la sécurité informatique et des méthodes de certification;
• vaste expérience des Critères communs et de la Méthodologie commune pour l’évaluation de la sécurité des technologies de l’information (ou méthodologie d’évaluation commune) acquise en participant directement à leur élaboration et/ou à leur application;
• expérience des rapports avec les fournisseurs, les consultantes et consultants, et les organismes et partenaires internationaux.

3.2.5 Certificatrice ou certificateur

La certificatrice ou le certificateur est principalement responsable de ce qui suit :

• signaler tout conflit d’intérêts lié aux évaluations dont il est responsable auprès de la superviseure ou du superviseur;
• effectuer le contrôle technique des évaluations effectuées par les laboratoires d’essais :
  • assurer la qualité technique des résultats et la conformité aux Critères communs, à la méthodologie d’évaluation commune ou aux profils de protection,
  • évaluer la qualité des activités d’évaluation,
  • observer les activités d’évaluation réalisées par le laboratoire d’essais,
  • évaluer la documentation fournie par le laboratoire d’essais,
  • fournir une orientation technique aux laboratoires d’essais pour résoudre les problèmes;
• effectuer le contrôle technique des demandes de maintien de l’assurance;
• produire des rapports de certification et des rapports de maintien
• aider les certificatrices et certificateurs principaux à effectuer les tâches nécessaires à l’approbation des nouveaux laboratoires d’essais;
• exercer un contrôle technique et de l’aide pendant la réévaluation des laboratoires d’essais par le CCN.

Ce rôle exige ce qui suit :

• diplôme universitaire ou collégial en informatique, en génie informatique/électrique ou en mathématiques, ou encore connaissances équivalentes acquises dans le cadre d’une expérience professionnelle pertinente;
• connaissance des théories et des principes de sécurité des TI, d’évaluation de la sécurité informatique et des méthodes de certification.

3.2.6 Certificatrice principale ou certificateur principal

La certificatrice principale ou le certificateur principal est responsable de ce qui suit :

• toutes les activités d’une certificatrice ou d’un certificateur;
• veiller à ce que les méthodes techniques du Programme canadien lié aux Critères communs soient adéquates et uniformes;
• produire des interprétations des Critères communs, de la méthodologie d’évaluation commune et des profils de protection;
• conseiller la superviseure ou le superviseur sur tous les aspects techniques du programme, y compris l’efficacité des politiques, des lignes directrices et des procédures;
• fournir des avis et des conseils aux certificatrices et certificateurs au sujet de la gestion des certifications, ainsi que de l’application et de l’interprétation des Critères communs, de la méthodologie d’évaluation commune et des profils de protection;
• élaborer les examens d’évaluatrice ou évaluateur et les faire passer aux candidates et candidats;
• participer aux comités internationaux de l’ARCC et aux réunions du Forum des utilisatrices et utilisateurs lié aux Critères communs.

Ce rôle exige ce qui suit :

• diplôme universitaire ou collégial en informatique, en génie informatique/électrique ou en mathématiques, ou encore connaissances équivalentes acquises dans le cadre d’une expérience professionnelle pertinente;
• connaissance approfondie des théories et des principes de sécurité des TI, d’évaluation de la sécurité informatique et des méthodes de certification;
• expérience considérable des Critères communs et de la méthodologie d’évaluation commune, acquise par la participation directe à leur élaboration et/ou à leur application.

3.3 Exigences en matière de formation

Le Centre pour la cybersécurité suit les procédures de recrutement et de dotation du gouvernement du Canada lorsqu’il pourvoit des postes vacants au sein de l’organisme de certification, afin d’assurer l’embauche des membres du personnel les plus aptes pour l’organisme de certification. Le Centre pour la cybersécurité considère que tout membre du personnel de l’organisme de certification qui ne possède pas les qualifications minimales décrites dans les sections précédentes est considéré comme étant en formation. La superviseure ou le superviseur encadre et surveille étroitement le rendement de tout le personnel en formation.

Le Centre pour la cybersécurité tient à jour des renseignements sur les qualifications, la formation et l’expérience pertinentes de tous les membres du personnel de l’organisme de certification dans ses systèmes organisationnels de planification des ressources et de gestion de l’information, conformément à la Politique sur la gestion des personnes du gouvernement du Canada.

Le Centre pour la cybersécurité reconnaît que les certificatrices et certificateurs peuvent acquérir des compétences et des connaissances grâce à une combinaison de cours de formation structurée, de programmes d’autoapprentissage et de formation pratique supervisée. Les membres du personnel de l’organisme de certification doivent avoir un plan de formation personnalisé pour assurer leur perfectionnement continu et font l’objet d’évaluations annuelles du rendement.

3.4 Entrepreneures et entrepreneurs

L’organisme de certification n’emploie pas actuellement d’entrepreneures ou entrepreneurs pour l’exécution des tâches normales. Si le Centre pour la cybersécurité devait faire appel à des entrepreneures ou entrepreneurs, ceux-ci se conformeraient à toutes les politiques et procédures du programme canadien, et seraient l’objet d’un encadrement rigoureux visant à assurer le respect de ces politiques et procédures ainsi que la qualité de leur travail.

4 Activités de l’organisme de certification

Les sections suivantes décrivent brièvement les activités menées par le Centre pour la cybersécurité et indiquent les mesures instaurées pour assurer la qualité de ces activités.

4.1 Approbation des nouveaux laboratoires d’essais

Le Centre pour la cybersécurité doit approuver officiellement un laboratoire d’essais avant qu’il puisse effectuer des évaluations dans le cadre du Programme canadien lié aux Critères communs. Pour obtenir plus d’information sur l’approbation des laboratoires d’essais, veuillez consulter le document Exigences et procédures relatives au Programme canadien lié aux Critères communs pour les laboratoires d’essais.

Le Centre pour la cybersécurité et chacun des laboratoires d’essais signent conjointement une entente officielle qui englobe toutes les procédures pertinentes, y compris les dispositions visant à assurer la confidentialité des renseignements protégés et les processus d’évaluation et de certification.

4.2 Acceptation des évaluations

Le Centre pour la cybersécurité examine les produits conformément aux Instructions du Programme canadien lié aux Critères communs. Il est à noter qu’une fois l’évaluation acceptée, le commanditaire de l’évaluation peut demander une entente de non-divulgation avec le Centre pour la cybersécurité.

4.3 Désignation de certificatrices et certificateurs

Lorsque la superviseure ou le superviseur affecte une certificatrice ou un certificateur à une évaluation, il tient compte de plusieurs facteurs, notamment les suivant :

• connaissance approfondie des Critères communs, de la méthodologie d’évaluation commune et des profils de protection applicables;
• connaissances de technologies particulières;
• possibilités de formation des certificatrices et certificateurs;
• considérations relatives aux conflits d’intérêts.

Plus précisément, les certificatrices et certificateurs ne doivent pas avoir d’intérêt particulier dans la réussite ou l’échec de la certification, conformément aux lignes directrices en matière d’éthique du gouvernement du Canada. Par conséquent, les certificatrices et certificateurs doivent déclarer tous les facteurs qui pourraient constituer un conflit d’intérêts.

4.4 Suivi des activités de certification

La certificatrice ou le certificateur doit tenir à jour un registre de certification exact, qui indique clairement les progrès liés aux travaux d’évaluation et de certification, et qui fait référence aux décisions prises pendant la certification. Le registre devrait être suffisamment détaillé pour en permettre la traçabilité, en vue d’améliorer la qualité et l’uniformité de l’ensemble des certifications. La superviseure ou le superviseur du programme peut examiner le registre de certification pour vérifier la traçabilité et assurer l’uniformité par rapport à d’autres certifications.

4.5 Contrôle technique des évaluations

Le contrôle technique des évaluations est un aspect fondamental de la qualité du Programme canadien lié aux Critères communs. La certificatrice ou le certificateur effectue trois types d’activités de contrôle :

1. l’examen des preuves d’évaluation produites par l’évaluatrice ou évaluateur, y compris le rapport technique d’évaluation;
2. la réalisation indépendante d’un sous-ensemble des travaux d’évaluation;
3. l’observation directe des activités d’évaluation choisies (témoin lors des essais).

4.6 Continuité de l’assurance

Le Centre pour la cybersécurité suit l’approche définie par les Critères communs pour la continuité de l’assurance (Continuité de l’assurance : exigences de l’ARCC) dans le cadre de ses évaluations, un processus dans le cadre duquel l’organisme de certification évalue les changements apportés aux produits déjà certifiés afin de déterminer si le produit peut faire l’objet d’un sous-ensemble d’essais plutôt que d’une réévaluation complète. Le Centre pour la cybersécurité évalue la nature des changements apportés au produit de TI en examinant le rapport d’analyse d’incidence de la développeuse ou du développeur et détermine si les changements sont suffisamment mineurs pour que le maintien de l’assurance soit une option appropriée.

4.7 Délivrance des certificats liés aux Critères communs, des rapports de certification et des rapports de maintien

Le Centre pour la cybersécurité produit un certificat et un rapport de certification connexe pour chaque évaluation de produit réussie et les affiche sur le le portail international des Critères communs (en anglais seulement) . Dans le cas de la continuité de l’assurance, le Centre pour la cybersécurité produit un rapport de maintien et l’affiche comme addenda à l’entrée correspondante du produit certifié sur le portail des Critères communs.

4.8 Résolution des problèmes techniques

Le Centre pour la cybersécurité s’engage à résoudre rapidement les problèmes techniques qui pourraient survenir au cours d’une évaluation. Le Centre pour la cybersécurité distribuera une version épurée du problème ainsi qu’une solution à tous les laboratoires d’essais, si le problème est important pour tous les laboratoires d’essais. Les directives s’appliqueront ensuite à toutes les évaluations subséquentes.

4.9 Échange d’information avec les intervenantes et intervenants

Le Centre pour la cybersécurité communique avec les intervenantes et intervenants au besoin. Plus précisément, le Centre pour la cybersécurité organise des réunions en personne avec les intervenantes et intervenants des laboratoires d’essais pour discuter des questions d’intérêt pour l’ensemble du programme et des changements à venir qui ont une incidence sur le fonctionnement du programme.

4.10 Gestion de la documentation

Dans le contexte du Programme lié aux Critères communs, la documentation comprend tout document qui fournit des preuves objectives d’activités ou de résultats du programme. Voici des exemples de documents :

• documents administratifs ou axés sur la qualité de l’organisme de certification;
• documents de certification des laboratoires d’essais;
• documents de certification des produits;
• documents de certification des profils de protection;
• documents sur la continuité de l’assurance.

Le Centre pour la cybersécurité conserve la plupart des documents liés aux Critères communs en format électronique dans le système organisationnel de gestion de l’information du CST, mais ne conserve aucun document lié aux Critères communs en format papier. Lorsqu’un document est reçu en format papier, il est numérisé et conservé en format électronique dans le système de gestion de l’information, puis le document papier est détruit. Lorsqu’un document est imprimé, il est détruit par la suite puisqu’il s’agit d’une copie utilisée à des fins temporaires.

Le Centre pour la cybersécurité utilise des systèmes organisationnels de gestion des documents et des TI qui respectent les politiques du gouvernement du Canada en matière de traitement de l’information, de sécurité et de ressources humaines. Ces politiques font en sorte que le Centre pour la cybersécurité conserve les documents pendant la période minimale de cinq ans exigée par l’ARCC.

4.11 Confidentialité et intégrité des renseignements liés aux Critères communs

Le Centre pour la cybersécurité traite les renseignements de nature délicate obtenus dans le cadre des activités liées aux Critères communs conformément à la Directive sur la gestion de la sécurité du gouvernement du Canada.

Le Centre pour la cybersécurité conserve les dossiers et les documents liés aux Critères communs dans son système organisationnel de gestion de l’information. Ce système fournit des enregistrements de vérification sur tous les accès et sur toutes les modifications de ces enregistrements, ainsi qu’un historique des versions qui permet de récupérer les versions antérieures des documents, s’il y a lieu.

En outre, le Centre pour la cybersécurité réserve l’accès aux documents de programme de nature délicate aux membres du personnel de l’organisme de certification.

4.12 Documentation du programme

Le Centre pour la cybersécurité conserve les versions officielles de la documentation du programme dans ses systèmes organisationnels de gestion de l’information. Il conserve des copies des versions actuelles de la documentation publique de l’organisme de certification sur son site Web, notamment :

• les Instructions du Programme canadien lié aux Critères communs, qui fournissent de l’information sur les politiques du Centre pour la cybersécurité sur divers sujets;
• les Exigences et procédures relatives au Programme canadien lié aux Critères communs pour les laboratoires d’essais, qui fournissent des directives sur la façon de devenir un laboratoire d’essais aux fins du Programme canadien lié aux Critères communs, ainsi que des détails sur les responsabilités des laboratoires d’essais pour rester en règle;
• le Manuel de qualité du Programme canadien lié aux Critères communs (le présent document).

Le Centre pour la cybersécurité utilise également des documents d’orientation et des modèles de documents internes pour fournir au personnel de l’organisme de certification des descriptions détaillées d’une vaste gamme de fonctions et de responsabilités.

Le Centre pour la cybersécurité utilise les versions officiellement approuvées des Critères communs pour l’évaluation de la sécurité des technologies de l’information (en anglais seulement) et de la Méthodologie commune pour l’évaluation de la sécurité des technologies de l’information (CME) (en anglais seulement). Il veille à ce que tous les intervenants et intervenantes du programme aient accès à ces documents.

4.12.1 Approbations des mises à jour de la documentation

Toutes les mises à jour de la documentation du Programme lié aux Critères communs doivent être approuvées par la direction du Centre pour la cybersécurité avant d’être publiées. L’autorité d’approbation pour chaque document produit par l’organisme de certification est indiquée dans le guide interne de gestion de l’organisme de certification. Ces approbations doivent être enregistrées à un endroit approprié dans le système organisationnel de gestion de l’information du Centre pour la cybersécurité.

Les membres de la direction du Centre pour la cybersécurité peuvent, à leur discrétion, exiger des pouvoirs d’approbation plus élevés pour les approbations et peuvent également subdéléguer leurs pouvoirs dans la mesure où cette délégation se fait par écrit et que le Centre pour la cybersécurité enregistre une copie de la délégation dans son système organisationnel de gestion de l’information.

4.12.2 Gestion du changement

Le Centre pour la cybersécurité examine chaque année l’ensemble du système de gestion de la qualité. S’il y a lieu, il fournit aux laboratoires d’essais des versions provisoires des documents mis à jour afin qu’ils puissent les examiner et donner une rétroaction avant leur dernière mise au point. Le Centre pour la cybersécurité informe par courriel les intervenantes et intervenants directs du programme de tous les changements apportés au programme et publie des mises à jour à l’intention de toutes les parties intéressées dans la section des nouvelles et des bulletins du site Web du Programme canadien lié aux Critères communs.

Afin d’éviter toute confusion entre les versions des documents, le Centre pour la cybersécurité retire tous les documents remplacés de son site Web, de sorte que seules les versions en vigueur, ou celles qui sont sur le point d’entrer en vigueur, sont accessibles au public.

5 Plaintes, différends et appels

Le personnel du Centre pour la cybersécurité a l’obligation de faire tous les efforts raisonnables pour résoudre les désaccords avec les parties externes afin que les parties n’aient pas besoin de porter plainte ou de faire appel de façon officielle. Toutefois, lorsque les parties ne peuvent régler un désaccord de façon informelle, le Centre pour la cybersécurité informe la partie externe de son droit de présenter une plainte officielle ou d’exprimer un différend par écrit. Les plaignantes et plaignants doivent donner suffisamment de détails pour permettre une évaluation adéquate. Si la plaignante ou le plaignant n’est pas satisfait du règlement de sa plainte ou de son différend, il peut faire appel.

Le Centre pour la cybersécurité s’engage à traiter rapidement et efficacement toutes les plaintes et tous les différends internes et externes, et il fournira à la demandeuse ou au demandeur une estimation du temps qu’il faudra pour arriver à un règlement. Les tentatives de règlement des plaintes et des différends devraient être d’abord adressées à la superviseure ou au superviseur du Programme lié aux Critères communs; cependant, les appelantes et appelants peuvent soumettre la plainte à l’une ou l’un des fonctionnaires énumérés à la section 3.1.

Les plaignantes et plaignants doivent envoyer leurs plaintes et leurs différends par courriel au Centre d’appel du Centre pour la cybersécurité à contact@cyber.gc.ca. Le Centre pour la cybersécurité fournit aux plaignantes et plaignants les coordonnées des personnes-ressources, lorsqu’un appel est nécessaire ultérieurement.

Le Centre pour la cybersécurité utilise les définitions suivantes pour les déclarations écrites :

• Plainte : mécontentement à l’égard d’un service fourni par le Centre pour la cybersécurité ou l’un des laboratoires d’essais.
• Différend : désaccord avec une décision prise par le Centre pour la cybersécurité.
• Appel : mécontentement à l’égard du règlement d’une plainte ou d’un différend.

5.1 Rôles et responsabilités

La ou le gestionnaire est responsable de ce qui suit :

• répondre aux appels découlant de plaintes ou de différends présentés précédemment;
• veiller à ce que la haute direction du Centre pour la cybersécurité soit au courant des appels qui pourraient lui être adressés.

La superviseure ou le superviseur est responsable de ce qui suit :

• enregistrer la plainte, le différend ou l’appel dans le Système de gestion de la qualité;
• résoudre la plainte ou arbitrer le différend au nom du Centre pour la cybersécurité;
• fournir les détails de la résolution à toutes les parties concernées;
• s’assurer que la ou le gestionnaire, Assurance et normes des produits, est au courant de toute plainte ou de tout différend reçu par le Centre pour la cybersécurité.

Les certificatrices et certificateurs principaux ainsi que les certificatrices et certificateurs ont les responsabilités suivantes :

• informer la superviseure ou le superviseur de tout désaccord avec les laboratoires d’essais qui pourrait donner lieu à une plainte officielle ou à un différend.

5.2 Source des plaintes, des différends et des appels

Les plaintes, les différends et les appels formulés par les laboratoires d’essais doivent provenir des directrices ou directeurs de laboratoire. De même, ceux qui émanent des commanditaires de l’évaluation doivent provenir d’une cadre supérieure ou d’un cadre supérieur. Le Centre pour la cybersécurité traitera les plaintes, les différends et les appels des autres parties au cas par cas.

5.3 Processus de traitement des plaintes ou des différends

À la réception de la plainte ou du différend, la superviseure ou le superviseur examine les documents pertinents pour la plainte ou la décision contestée et discute du problème avec les certificatrices et certificateurs concernés ainsi qu’avec les certificatrices et certificateurs principaux. Dans le cas d’une plainte, la superviseure ou le superviseur fait enquête sur les circonstances qui ont mené à la plainte et peut en discuter. Pour les différends, la superviseure ou le superviseur examine le fondement de la décision contestée. Dans les deux cas, la superviseure ou le superviseur prend une décision, documente les détails du règlement (y compris la justification connexe), l’enregistre dans le système de gestion de la qualité, informe la plaignante ou le plaignant par écrit du règlement (en indiquant son droit d’appel, le cas échéant), et précise le délai dans lequel la plaignante ou le plaignant peut faire appel de la décision.

Au moment du règlement de la plainte ou du différend, la superviseure ou le superviseur examine le règlement pour déterminer les répercussions sur les politiques ou les procédures de l’organisme de certification et mettra celles-ci à jour, s’il y a lieu.

5.4 Processus d’appel

Tel qu’il a été expliqué précédemment, les parties peuvent faire appel des décisions rendues par écrit (relativement aux différends ou aux plaintes) auprès de la superviseure ou du superviseur, ou de l’une ou l’un des fonctionnaires énumérés à la section 3.1, en faisant parvenir une copie à la superviseure ou au superviseur. Les parties doivent faire appel dans les cinq jours ouvrables suivant la notification de la décision par le Centre pour la cybersécurité.

Lorsque la superviseure ou le superviseur reçoit l’appel, il en accuse réception, l’enregistre dans le système de gestion de la qualité et l’envoie à la ou au gestionnaire, Assurance et normes des produits, pour que celui-ci prenne des mesures.

La ou le gestionnaire, Assurance et normes des produits, examine l’appel, la décision contestée et la justification de la décision contestée avec la superviseure ou le superviseur. La ou le gestionnaire décide ensuite d’accepter l’appel et de réviser la décision contestée ou de rejeter l’appel. La ou le gestionnaire informe ensuite l’auteure ou auteur de l’appel de sa décision. Lorsque la ou le gestionnaire refuse l’appel, il informe la plaignante ou le plaignant de son droit de faire appel auprès de la haute direction du Centre pour la cybersécurité en lui fournissant les coordonnées appropriées pour cette marche à suivre. La ou le gestionnaire informe la haute direction du Centre pour la cybersécurité des résultats de l’appel et de la possibilité d’un recours hiérarchique.

Dans les cas où la ou le gestionnaire infirme une décision contestée, la superviseure ou le superviseur évalue l’incidence sur d’autres décisions, sur toutes les politiques et procédures du Programme canadien lié aux Critères communs et sur toute activité commerciale au niveau de l’ARCC international. La superviseure ou le superviseur informe toutes les autres parties en cause dans l’appel (p. ex. laboratoires d’essais, commanditaires de l’évaluation) de la décision d’appel et de ses répercussions, et met à jour toute la documentation connexe.

6 Utilisation des certificats, des marques et des logos de certification

Le Centre pour la cybersécurité fournit des certificats liés aux Critères communs, des marques de commerce connexes et des logos pour indiquer officiellement qu’un laboratoire d’essais a évalué une version donnée d’un produit de TI conformément aux exigences du Programme canadien lié aux Critères communs.

6.1 utilisation abusive des certificats

Le Centre pour la cybersécurité enquêtera rapidement suivant tout signalement de l’utilisation abusive d’un certificat, d’une marque de commerce ou d’un logo liés aux Critères communs provenant du Programme canadien et demandera à la ou au titulaire de certificat de prendre rapidement les mesures correctives qu’il juge nécessaires. Si une ou un titulaire de certification ne se conforme pas rapidement, le Centre pour la cybersécurité peut retirer le certificat ou prendre d’autres mesures correctives.

Lorsqu’un laboratoire d’essais termine avec succès une évaluation, en plus du certificat du produit, la superviseure ou le superviseur envoie également une lettre au commanditaire de l’évaluation qui précise les conditions suivantes :

• Les titulaires de certificat peuvent associer le certificat lié aux Critères communs et la marque de certification liée aux Critères communs seulement à la version exacte du produit évalué. Il est interdit à la ou au titulaire du certificat d’associer le certificat lié aux Critères communs ou la marque de certification liée aux Critères communs à une version non évaluée du produit.
• Les titulaires de certificat ne doivent pas utiliser le certificat lié aux Critères communs ni la marque de certification liée aux Critères communs d’une manière qui pourrait discréditer le Centre pour la cybersécurité, le Programme canadien lié aux Critères communs ou l’ARCC.
• Le certificat lié aux Critères communs et la marque de certification liée aux Critères communs demeurent la propriété du Centre de la sécurité des télécommunications, et ce dernier peut révoquer la permission de les utiliser à sa seule discrétion. Le Centre de la sécurité des télécommunications prendra les mesures appropriées pour prévenir l’utilisation abusive du certificat lié aux Critères communs ou de la marque de certification liée aux Critères communs.
• L’autorisation d’utiliser le certificat lié aux Critères communs et la marque de certification liée aux Critères communs ne constitue pas ni ne sous-entend, directement ou indirectement, l’approbation du produit par le Centre de la sécurité des télécommunications.

Le Centre pour la cybersécurité enquêtera sur toute situation où un produit certifié ne peut plus répondre aux critères de certification ou un fournisseur ne respecte pas les conditions de certification. Le Centre pour la cybersécurité peut retirer un certificat s’il le juge nécessaire dans de telles circonstances et avisera la ou le titulaire du certificat par écrit avant de mettre à jour le site Web du Programme canadien lié aux Critères communs et le Portail des Critères communs (en anglais seulement).

7 Contenu complémentaire

7.1 Liste d’abréviations, d’acronymes et de sigles

ARCC

Arrangement de reconnaissance des Critères communs

CCN

Conseil canadien des normes

CEM

Méthodologie d’évaluation commune (Common Evaluation Methodology)

CST

Centre de la sécurité des télécommunications

TI

Technologies de l’information

TLP

Traffic Light Protocol