Les Critères Communs (CC) sont une norme internationale définissant un cadre pour l'évaluation et la certification de la sécurité informatique. Elle est utilisée spécifiquement pour garantir que les produits informatiques répondent aux exigences de sécurité standard pour les déploiements gouvernementaux ou sur des marchés spécifiques.
En effet, les utilisateurs finaux doivent avoir la certitude que les produits qu’ils achètent et utilisent répondront aux exigences de sécurité revendiquées. La certification CC apporte de la valeur à cet utilisateur en permettant à un tiers indépendant d’examiner et de valider ces exigences de sécurité par rapport aux mesures et critères reconnus par l’industrie. De plus, la confiance augmente si ce tiers est crédible et accrédité par un système de certification gouvernemental, ce qui est le cas de la certification CC.
Le CC n'est pas aussi courant que son nom l'indique, et de nombreux fabricants ne connaissent pas tous ses composants. Dans cet esprit, nous avons voulu vous donner une liste rapide des principales choses que vous devez savoir pour être mieux préparé à l'avenir.
1- De nombreux pays et utilisateurs apprécient la certification CC
CC est reconnue depuis longtemps par 31 pays. Cela signifie que les autorités fédérales et gouvernementales accordent une grande importance à cette certification. Malheureusement, cette reconnaissance est limitée à un niveau de sécurité maximal (EAL 2). Cependant, elle est également très recherchée dans tous les secteurs réglementés dotés d'infrastructures critiques et d'un niveau de sécurité élevé. En outre, plus de 4 500 produits ont déjà été certifiés CC et sont utilisés par des milliards d'utilisateurs dans le monde entier.

2- Le CC permet aux consommateurs d'avoir une évaluation impartiale d'un produit informatique
Une telle évaluation est également une évaluation de sécurité, car la CC comprend une analyse et des tests du produit pour vérifier sa conformité à des exigences de sécurité spécifiques. Cela augmente le niveau de confiance du consommateur dans le produit informatique.
3- Trois organes vitaux sont impliqués dans une évaluation CC
Il s'agit notamment de : 1) un organisme de validation qui est généralement une agence gouvernementale ; 2) le laboratoire d'évaluation CC ; 3) le sponsor, qui est l'entreprise qui a demandé l'évaluation. Parfois, un consultant CC est utilisé lorsqu'un expert CC est nécessaire.
4- Au total, sept niveaux d'assurance sont définis dans le CC
En règle générale, plus le niveau de garantie d'un produit est élevé, plus il y a de preuves de sa sécurité. En effet, chaque niveau est soumis à une méthode de test plus rigoureuse. L'idée ici est que le client puisse consulter l'EAL d'un produit évalué et voir en un coup d'œil les efforts consacrés à l'évaluation des déclarations de sécurité faites par les fournisseurs. Une évaluation plus approfondie donnera aux clients une plus grande confiance
5- CC dispose d'un groupe européen d'utilisateurs reconnaissant un niveau d'assurance de sécurité plus élevé
Ce système est régi par l'accord du Groupe des hauts fonctionnaires chargés de la sécurité de l'information (SOG-IS), qui aborde les directives et les objectifs communs de la région européenne. Avec l'adoption de la loi sur la cybersécurité de l'UE en septembre 2019, l'ENISA travaille actuellement avec un groupe d'experts ad hoc pour traduire le système SOG-IS CC en un système de certification de cybersécurité de l'UE. Cela se traduira par une reconnaissance plus large par les 27 États membres de l'UE.
6- Le calendrier et le coût sont différents pour chaque niveau d'assurance du CC
En règle générale, plus le niveau d'assurance d'évaluation (EAL) est élevé, plus le coût et le temps requis pour réaliser l'évaluation sont élevés. En général, l'EAL 2 dure 4 à 6 mois et coûte 80 000 à 150 000 dollars, l'EAL 3 dure 6 à 9 mois et coûte 120 000 à 200 000 dollars, et l'EAL 4 dure 7 à 12 mois et coûte 175 000 à 300 000 dollars. Un EAL 4 plus complexe dure 12 à 24 mois et coûte 300 000 à 750 000 dollars.
7- Le sponsor a toujours une personne qui communique avec l'organe directeur pour effectuer l'évaluation
Cette personne est l'interlocuteur du commanditaire, c'est-à-dire de l'entreprise qui demande l'évaluation. Elle est responsable de l'ensemble des communications entre les deux organismes pendant la période d'évaluation.
8- Le coordonnateur de la documentation CC fait l'essentiel du travail
De nombreuses personnes peuvent effectuer l'essentiel du travail d'évaluation, mais le coordinateur de la documentation CC est la personne qui en fait la majeure partie dans la plupart des processus d'évaluation. Les rédacteurs techniques sont également très appréciés dans ce processus.
9- L'ingénieur d'évaluation CC est la personne principale possédant les connaissances techniques nécessaires au processus
L'ingénieur d'évaluation CC peut être un ingénieur logiciel/matériel, un ingénieur marketing produit, un testeur QA ou un expert/consultant CC.
10- La demande d'une assurance plus élevée reste le principal moteur de l'adoption du CC
Les avancées technologiques et le développement des produits intelligents nécessitent des niveaux de sécurité de plus en plus élevés en raison des énormes risques de cybersécurité en jeu. CC est adapté à ce marché, tant au niveau industriel que gouvernemental.
Si vous souhaitez en savoir plus sur le dispositif des Critères Communs, n'hésitez pas à nous contacter .