Dans le domaine en constante évolution de la sécurité des technologies de l’information (TI), le besoin d’un cadre normalisé et mondialement reconnu pour évaluer et certifier les mesures de sécurité est devenu de plus en plus critique. C’est ce qui a conduit à l’élaboration des Critères communs pour l’évaluation de la sécurité des technologies de l’information, communément appelés Critères communs (CC). Depuis sa création, les CC ont évolué de manière significative.

Origines et fondements

Les origines des Critères Communs remontent à la fin des années 80 et au début des années 90, période marquée par la croissance rapide des technologies de l’information et la prise de conscience de la nécessité de disposer de critères normalisés d’évaluation de la sécurité.

À cette époque, plusieurs pays, dont les États-Unis, le Canada, la France, l’Allemagne, le Japon et le Royaume-Uni, ont reconnu les défis posés par la nécessité d’une approche unifiée de l’évaluation de la sécurité des technologies de l’information. Chacun de ces pays avait élaboré ses propres critères d’évaluation de la sécurité, qui, bien qu’efficaces à l’intérieur de leurs frontières respectives, créaient un paysage mondial fragmenté et souvent incohérent.

L’idée d’une norme unifiée est née de la reconnaissance du fait qu’un cadre commun pourrait rationaliser et normaliser le processus d’évaluation dans différents pays et secteurs d’activité, améliorant ainsi l’interopérabilité et la confiance dans les produits et systèmes de sécurité informatique.

Cette prise de conscience a donné lieu à des efforts de collaboration entre les nations susmentionnées, qui ont abouti à la première version de la norme des Critères communs en 1996.

Le développement de la norme CC a été motivé par l’objectif principal de fournir un processus transparent et reproductible pour évaluer les propriétés de sécurité des produits informatiques éligibles par rapport aux exigences de sécurité spécifiées.

En établissant un langage commun et un ensemble de critères, la norme visait à améliorer la confiance dans les caractéristiques de sécurité de ces produits, facilitant ainsi les décisions d’achat éclairées des gouvernements et des organisations.


Les Critères communs


ont eu un impact important non seulement en créant un cadre harmonisé au niveau mondial, mais aussi en encourageant la coopération internationale dans le domaine de la cybersécurité.

Évolution des versions et des révisions

Le début des années 2000 a vu l’introduction de la version 2.x du CC, qui a entraîné un changement notable d’orientation vers l’assurance de la sécurité et les méthodologies d’évaluation.

Cette version a introduit des niveaux d’assurance structurés, offrant une approche plus détaillée et plus complète de l’évaluation des fonctionnalités de sécurité des produits informatiques.

La version 3.x de la CC, publiée au milieu des années 2000, a encore affiné les processus d’évaluation, en intégrant des méthodes de test plus rigoureuses et en tenant compte des avancées technologiques et des menaces de cybersécurité.

Cette évolution visait à améliorer le processus d’évaluation et à aligner les Critères communs sur d’autres normes internationales importantes en matière de cybersécurité, telles que ISO/IEC 15408 et NIST SP 800-53. L’harmonisation était essentielle pour réduire les redondances, améliorer l’interopérabilité et favoriser une approche unifiée de l’évaluation et de la certification des produits de sécurité informatique à l’échelle mondiale.

Initialement axé sur les produits informatiques traditionnels tels que les systèmes d’exploitation et les dispositifs de réseau, le CC a élargi son champ d’action pour inclure les technologies émergentes telles que l’informatique en nuage et les plateformes mobiles, et dans certains cas – en fonction des profils de protection spécifiques – également les dispositifs IoT grand public.

L’évolution la plus récente de la norme est représentée par les Critères communs 2022 (



CC2022



), qui mettent l’accent sur l’amélioration de la clarté et de la cohérence des exigences de sécurité et des évaluations.

Le schéma des Critères communs de l’Union européenne (CCUE), bien que nouveau et distinct, sera étroitement lié aux CC2022. Avec le retrait progressif de CCv3.1, toute nouvelle évaluation dans le cadre du système EUCC utilisera exclusivement la méthodologie CC2022.

Défis en matière d’adoption et de mise en œuvre

L’un des principaux défis était la disponibilité limitée d’évaluateurs qualifiés et d’évaluateurs capables de mener des évaluations selon les normes des Critères communs. Ce besoin d’expertise supplémentaire a rendu difficile le processus de certification pour les organisations, contribuant ainsi à la lenteur de l’adoption. Les divergences d’interprétation des critères d’évaluation entre les différents organismes de certification et évaluateurs ont également conduit à des résultats incohérents.

Malgré ces difficultés, la valeur de la CC a été de plus en plus reconnue au fil du temps, ce qui a conduit à une augmentation progressive de son adoption dans divers secteurs et pays.

La création d’organismes de certification et la formation d’évaluateurs qualifiés ont permis d’atténuer certains des premiers défis, ouvrant la voie à une mise en œuvre plus généralisée.

Acceptation et reconnaissance au niveau mondial

L’établissement de l’Arrangement de reconnaissance des critères communs (ARCC) entre les pays participants a constitué une étape clé dans l’acceptation et la reconnaissance des CC à l’échelle mondiale.

L’ADRC a facilité la reconnaissance mutuelle des certificats de critères communs, ce qui signifie qu’un produit certifié dans un pays membre de l’ADRC sera reconnu comme certifié dans tous les autres pays membres. Cette étape a considérablement renforcé l’acceptation internationale des Critères communs, en en faisant une norme véritablement mondiale pour l’évaluation de la sécurité des technologies de l’information.

L’alignement des CC sur la norme ISO/CEI 15408 a encore renforcé sa reconnaissance internationale.

La norme ISO/CEI 15408, connue sous le nom de « Critères communs pour l’évaluation de la sécurité des technologies de l’information », fournit un cadre normalisé pour l’évaluation de la sécurité des produits informatiques, et son alignement sur les CC garantit que les deux normes se complètent, réduisant la redondance et favorisant une approche unifiée de l’évaluation de la sécurité des technologies de l’information.

L’approbation de la CC par les principaux acteurs de l’industrie et son intégration dans les politiques d’approvisionnement ont également joué un rôle important dans sa reconnaissance mondiale.

Résumé

Les laboratoires de cybersécurité indépendants, tels que CCLab, offrent un soutien étendu aux entreprises, en proposant des services tels que la consultation CC pour la conformité ISO 15408 et les évaluations des Critères Communs dans le cadre de l’EUCC. Ces services permettent aux fabricants de naviguer efficacement dans les complexités des évaluations de cybersécurité, contribuant ainsi à un paysage numérique plus sûr. À mesure que la technologie évolue, l’obtention de la certification CC pour les produits est cruciale pour les fabricants, car elle garantit une sécurité solide des produits et stimule leur compétitivité sur le marché mondial.

Dariel Campbell

Je suis

Dariel Campbell

, l’expert chargé de rendre les choses hilarantes à  »

Awesome Responses

« . Jouer avec les mots et fournir des réponses rapides et intelligentes, c’est mon truc. Chez

Awesome Responses

, nous sommes là pour faire en sorte que vos réponses se démarquent et brillent. Faisons en sorte que vos réponses soient rapides, intelligentes et drôles à souhait. Venez rejoindre l’hilarité à

Awesome Responses

!