CommonCriteria

Les Critères Communs

Les certifications « critères communs » (Common Criteria) sont un standard international pour certifier le niveau de sécurité d’un produit en prenant en compte la conception, le développement et la résistance aux attaques. Le processus de certification, piloté par les agences nationales de sécurité (ANSSI pour la France) est relativement long, un an à un an et demi. L’évaluation est menée par des laboratoires spécialisés (licensed laboratories). En France, les laboratoires CESTI (Centre d’Evaluation de la Sécurité des Technologies de l’Information) sont accrédités par le COFRAC et agréés par l’ANSSI. Les certifications répondent à des besoins réglementaires, commerciaux ou contractuels. Les certifications peuvent concerner les solutions de cybersécurité et, plus largement, toutes les solutions offrant des fonctionnalités de sécurité (équipements réseaux, firewalls, cartes à puces, Hardware Security Module, automates programmables industriels, serveurs SCADA…).

Principes de conception sécurisée

Intégrer la sécurité dès la conception des logiciels, interfaces et nouveaux produits fait partie des bonnes pratiques reconnues par tous les experts. La norme ISO 19249 qui propose un catalogue de principes d’architecture et de conception est un des documents utilisables dans ce cadre. Ce référentiel est d’ailleurs cité dans le programme en vigueur de la certification individuelle CISSP. Il rejoint les méthodes de modélisation des menaces utilisées dans le développement logiciel et les normes ISO 27034 sur la sécurisation des applications ou encore le référentiel SSDF.