Sélection de la langue

Critères communs

Les Critères communs (CC) consistent en un programme international dans le cadre duquel des laboratoires d’essais agréés mettent à l’essai des produits TI en fonction de spécifications en matière de cybersécurité liées à des classes de technologies. Conformément à l’Arrangement relatif à la reconnaissance des certificats liés aux Critères communs (en anglais seulement), tous les pays membres consentent à reconnaître les certificats liés aux Critères communs des autres pays, ce qui permet aux développeurs d’accéder au marché mondial peu importe le pays où leur produit est certifié.

Une évaluation technique en fonction de ces critères représente un des éléments de l’évaluation globale de sécurité d’un produit. Elle ne devrait pas constituer le seul élément utilisé pour déterminer le risque. D’autres facteurs à prendre en considération comprennent, sans s’y limiter, la réputation, la fiabilité et le pays d’origine du fournisseur.

Les développeurs embauchent un laboratoire d’essais pour évaluer leur produit à l’égard d’une spécification de sécurité conçue par une communauté technique. Ce laboratoire d’essais réalise ses activités d’évaluation en vertu d’un organisme de certification national chargé du contrôle technique des évaluations et de la publication des résultats de ces évaluations, lesquels sont reconnus à l’échelle internationale.

Le Centre pour la cybersécurité gère le Programme canadien lié aux Critères communs qui vise à certifier les produits selon des indicateurs précis en matière de cybersécurité. La certification ne constitue pas une homologation du produit TI par le Centre de la sécurité des télécommunications Canada (CST) ou par tout autre organisation qui reconnaît ou entérine ce certificat. La certification ne signifie pas, ni implicitement ni explicitement, que le produit TI est garanti par le CST ou par toute autre organisation qui reconnaît ou entérine ce certificat.

Le Centre pour la cybersécurité recommande d’acheter et de déployer des produits certifiés selon les CC pour les raisons suivantes :

  1. Des laboratoires de cybersécurité agréés vérifient de façon indépendante les allégations de sécurité
  2. La méthodologie et les spécifications sont élaborées selon une approche collaborative
  3. Un large éventail de produits certifiés est offert
  4. L’utilisation de produits certifiés réduit les risques de compromission

Liste des produits :

  • Pour les développeurs

    Pour faire certifier un produit selon les Critères communs, les développeurs doivent communiquer avec l’un des laboratoires d’essais sous l’égide du Programme canadien lié aux Critères communs aux fins d’évaluation du produit.

  • Pour les architectes de système

    Le Centre pour la cybersécurité recommande de vérifier la liste des produits TI certifiés selon les Critères communs (en anglais seulement) comme première étape en vue de la sélection d’un produit TI au moment de concevoir un service ou un réseau. L’utilisation de produits certifiés comme des coupe-feux, des systèmes de détection et de prévention d’intrusion ainsi que des systèmes d’exploitation permet d’atténuer les risques dans une architecture réseau. Les détails concernant les éléments évalués sont énoncés dans la cible de sécurité et dans le rapport de certification du produit.

    La certification d’un produit en fonction des Critères communs ne constitue qu’un des éléments d’une évaluation globale des risques qui s’y rapportent. D’autres facteurs à prendre en considération comprennent, sans s’y limiter, la réputation, la fiabilité et le pays d’origine du fournisseur.

    Le Centre pour la cybersécurité recommande aux architectes de système d’aligner leurs besoins sur les profils de protection existants.

    Un profil de protection consiste en un ensemble d’exigences de base en matière de sécurité pour une classe de technologies. L’évaluation d’un produit par rapport à un profil de protection comprend les fonctionnalités de sécurité requises de même que les menaces de sécurité connues.

    Le Centre pour la cybersécurité reconnaît la liste des profils de protection (en anglais seulement) et la liste des profils de protection collaboratifs (en anglais seulement) sur le portail des Critères communs. Pour les profils de protection qui sont affichés ailleurs, veuillez communiquer avec le Centre pour la cybersécurité.

  • Pour les acheteuses et acheteurs

    Les produits certifiés selon les Critères communs fournissent un niveau supérieur d’assurance en ce qui a trait aux aspects de la cybersécurité évalués dans le cadre de ce programme. Le Centre pour la cybersécurité considère que les produits certifiés selon les Critères communs sont des produits qui offrent des fonctionnalités de sécurité importantes à un environnement TI. Les détails concernant les éléments évalués sont énoncés dans la cible de sécurité et dans le rapport de certification du produit.

    Avant d’acheter un produit TI qui est annoncé comme étant certifié selon les Critères communs, le Centre pour la cybersécurité recommande que les organisations obtiennent une copie du certificat lié aux Critères communs et valident ce certificat en le comparant à la liste internationale des produits certifiés (en anglais seulement).

    Les acheteuses et acheteurs ne devraient pas limiter leur évaluation des risques à l’évaluation selon les Critères communs, et devraient appliquer les avis et conseils du Centre pour la cybersécurité afin d’évaluer les risques liés à la chaîne d’approvisionnement.

    Si un produit ne figure pas dans la liste internationale, veuillez consulter également la liste des produits certifiés du Centre pour la cybersécurité, laquelle contient tous les produits certifiés par le Centre pour la cybersécurité de même que les produits en cours d’évaluation.

  • Publications

  • Centres d’évaluation

    Les centres d’évaluation selon les Critères communs sont des laboratoires d’essais de la sécurité des TI qui ont obtenu l’accréditation selon les prescriptions du Guide ISO/IEC 17025:2005 et répondent aux exigences du Schéma canadien lié aux critères communs (SCCC) relatives à la conduite d’évaluations de la sécurité des TI aux fins de conformité aux Critères communs pour l’évaluation de la sécurité des technologies de l’information.

    Voici les organisations qui sont agréées actuellement pour effectuer les évaluations selon les Critères communs dans le cadre du Programme canadien lié aux Critères communs :

    EWA-Canada
    1223, rue Michael Nord, bureau 200
    Ottawa (Ontario) K1J 7T2
    Canada

    Simon Rix
     labdirector@ewa-canada.com
     613-230-6067

    Lightship Security
    150, rue Isabella, bureau 1101
    Ottawa (Ontario) K1S 1V7
    Canada

    Jason Lawlor
     Jason.lawlor@lightshipsec.com
     613-512-1070 ext. 700

  • Liens importants

  • Glossaire

    Cible de sécurité (Security Target)
    Document qui décrit la façon dont un produit répond à un ensemble d’exigences de sécurité définies.
    Rapport de certification (Certification Report)
    Document produit par un organisme de certification qui décrit en détail les résultats d’une évaluation selon les Critères communs.
    Profil de protection (Protection Profile)
    Document qui définit les exigences de sécurité pour une classe précise de cyberproduits (p. ex. coupe-feux réseau).

    Nouvelles/bulletins

      • 5 juillet 2024 | Nouvelle version des instructions du Programme canadien lié aux Critères communs

        La version 2.2 des Instructions du Programme canadien lié aux Critères communs a été publiée. Cette publication remplace toutes les versions publiées précédemment.


      • 15 mai 2024 | Énoncé de transition pour les versions 2022 des publications CC et CEM

        À compter du 1er juillet 2024, les nouvelles trousses de soumission de cibles de sécurité qui ne sont pas censées se conformer à un profil de protection à conformité intégrale devront se conformer à la version 2022 des publications CC et CEM. Les soumissions comportant une annonce de conformité pour un profil de protection avec conformité intégrale peuvent continuer de se conformer à la version 3.1, révision 5, des publications CC et CEM.


      • 24 avril 2024 | Énoncé d’approbation du profil de protection collaboratif pour les dispositifs d’impression

        Le Programme canadien lié aux Critères communs approuve officiellement la version 1.0e du document intitulé Collaborative Protection Profile for Hardcopy Devices (profil de protection collaboratif pour les dispositifs d’impression). Énoncé d’approbation de ce profil de protection (en anglais seulement).


      • 21 avril 2024 | Nouvelle version du guide destiné aux responsables des évaluations

        À la suite d’une vaste collaboration interne et de consultations avec les laboratoires d’essais, le document intitulé Guidance for Evaluators v5.2 a été diffusé aux laboratoires d’essais. Ces versions comprennent les exigences en matière de contenu pour les soumissions d’admissibilité, des clarifications sur les exigences liées à l’évaluation des produits cryptographiques et à la portée de l’évaluation des vulnérabilités, ainsi que des méthodes d’atténuation des vulnérabilités.


      • 23 janvier 2024 | Énoncé d’approbation du profil de protection collaboratif pour les périphériques réseau

        Le Programme canadien lié aux Critères communs approuve officiellement la version 3.0e du document intitulé Collaborative Protection Profile for Network Devices (profil de protection collaboratif pour les périphériques réseau). Énoncé d’approbation de ce profil de protection (en anglais seulement).


    • 2023
      • 8 septembre 2023 | Retrait du certificat lié aux Critères communs pour les appareils isolateurs d’IHSE

        Le Programme canadien lié aux Critères communs annonce le retrait du certificat décerné le 3 novembre 2022 pour les appareils isolateurs d’IHSE K487-1PHCA-N, K487-1PHSA-N, K487-1PHCRA-N, K487-1PHSRA-N, K497-1PHCA-N, K497-1PHSA-N, K497-1PHCRA-N et K497-1PHSRA-N version micrologicielle 44404-E7E7. Le certificat lié aux Critères communs comprenait une annonce de conformité au Protection Profile for Peripheral Sharing Device Version 4.0, et la décision de retirer le certificat est fondée sur une décision technique concernant l’applicabilité des cas d’utilisation définis dans le profil de protection.


      • 13 février 2023 | Nouvelle version des Instructions du Programme canadien lié aux Critères communs

        La version 2.0 des Instructions du Programme canadien lié aux Critères communs a été publiée. Ce document remplace toutes les versions publiées précédemment.


      • 7 février 2023 | Énoncé d’approbation du profil de protection collaboratif pour les dispositifs d’impression

        Le Programme canadien lié aux Critères communs approuve officiellement la version 1.0 du document intitulé collaborative Protection Profile for Hardcopy Devices (profil de protection collaboratif pour les dispositifs d’impression). L'énoncé d’approbation de ce profil de protection (en anglais seulement).

    • 2022
      • 20 décembre 2022 | Nouvelle version du guide destiné aux responsables des évaluations

        À la suite d’une vaste collaboration interne et de consultations avec les laboratoires d’essais de même qu’avec les partenaires de l’industrie, le document intitulé Guidance for Evaluators v5.0 a été diffusé aux laboratoires d’essais. Cette version comprend un processus actualisé d’analyse des vulnérabilités, des clarifications sur l’équivalence cryptographique, des exigences révisées relatives à l’échantillonnage et aux essais de régression, des mises à jour visant à refléter le cours en ligne pour les responsables des évaluations, ainsi que des conseils pour relier plusieurs évaluations entre elles. Cette publication remplace toutes les versions publiées précédemment.


      • 21 novembre 2022 | Publication de la nouvelle version des Critères communs pour l’évaluation de la sécurité des technologies de l’information

        La révision 1 de 2022 du document Common Criteria for Information Technology Security Evalution (CC:2022 Release 1 a été publiée et peut être téléchargée sur la page des publications du portail des Critères communs (en anglais seulement) De plus amples renseignements seront communiqués prochainement concernant la transition de la v3.1, révision 5, à la révision 1 de 2022.


      • 27 avril 2022 | Énoncé de position appuyant le CC in the Cloud Working Group

        Le Programme canadien lié aux Critères communs, conjointement avec le National Information Assurance Partnership (NIAP) des États-Unis et l’Australian Certification Authority, a publié un énoncé de position commun (PDF en anglais seulement) selon lequel les trois organismes appuient le CC in the Cloud Working Group, d’après le document intitulé CC in the Cloud Essential Security Requirements (PDF en anglais seulement).

    • 2021
      • 21 octobre 2021 | Énoncé d’approbation du profil de protection collaboratif pour les dispositifs réseau

        Le Programme canadien lié aux Critères communs approuve officiellement la version 2.2e du document intitulé collaborative Protection Profile for Network Devices (profil de protection collaboratif pour les dispositifs réseau). L’énoncé d’approbation de ce profil de protection (en anglais seulement) can be found on the Common Criteria Portal website.


      • 19 août 2021 | FIPS 186-2 et ANSI X9.31/X9.62

        Certains modules cryptographiques archivés, notamment OpenSSL FIPS Object Module CMVP 1747, ont des fonctionnalités cryptographiques qui sont obsolètes depuis longtemps et qui causent des problèmes lorsqu’elles sont présentes dans les produits évalués.

        À compter de maintenant, les algorithmes cryptographiques dont la conformité aux normes suivantes est annoncée doivent être exclus d’une évaluation selon les Critères communs :

        • FIPS 186-2 RSA Key Generation (génération de clés RSA);
        • FIPS 186-2 RSA Signature Generation (génération de signatures RSA), avec une longueur de module de moins de 4096 bits;
        • ANSI X9.31 ou ANSI X9.62 RNG (génération de nombres aléatoires).

        Ces algorithmes ou fonctionnalités ne répondent pas aux exigences fonctionnelles de sécurité (p. ex. communication sécurisée, mise à jour fiable, etc.). Pour obtenir de plus amples renseignements sur les algorithmes cryptographiques approuvés, veuillez consulter la publication Algorithmes cryptographiques pour l’information NON CLASSIFIÉ, PROTÉGÉ A et PROTÉGÉ B (ITSP.40.111).

Renseignements supplémentaires sur les Critères communs

Vous voulez en savoir plus sur les Critères communs? Veuillez consulter le site Web international des Critères communs (en anglais seulement) .

Pour en savoir plus au sujet des Critères communs, vous pouvez également communiquer avec le Centre pour la cybersécurité.

Date de modification :