Sélection de la langue

Government of Canada / Gouvernement du Canada

Recherche

Instructions du programme canadien lié aux critères communs v2.0

De : Centre canadien pour la cybersécurité

Avant propos

La publication : Instructions du Programme canadien lié aux Critères communs est un document NON CLASSIFIÉ destiné aux laboratoires d’essais agréés en vertu du Programme canadien. Elle remplace toute instruction antérieure relative au Programme canadien lié aux Critères communs, ayant été émise par le Centre canadien pour la cybersécurité ou le Centre de la sécurité des télécommunications.

Date d’entrée en vigueur

La présente publication entre en vigueur le 1er mars 2023.

  • Historique des modifications
    • 1.0 - 30 septembre 2019
      Révision initiale d’un ensemble harmonisé d’instructions relatives au programme :
      • regroupement de toutes les instructions du Schéma en un seul document;
      • reformatage du document conformément au modèle du Centre canadien pour la cybersécurité;
      • mise à jour du contenu des instructions afin de tenir compte des changements apportés au processus.
    • 1.1 - 11 juin 2021
      Révision de la section traitant des fonctionnalités cryptographiques.
    • 1.2 - 5 octobre 2021
      Ajout des sections « Fonctionnalité de base » et « Fonctionnalité essentielle », « Tests effectués à distance » et « Évaluation et correction des vulnérabilités ».
    • 1.3 - 6 décembre 2021
      Révision de la section « Admissibilité des évaluations », ajout d’un document de référence pour la cryptographie approuvée, mise à jour des exigences relatives aux jalons des évaluations visant à retirer la confirmation de l’approbation obtenue du Centre pour la cybersécurité, modification de la date du jalon des tests à PiE + 4,5 mois, retrait de la proposition de tests à distance de l’étape d’admissibilité, harmonisation de la terminologie.
    • 1.4 - 31 décembre 2021
      Intégration des commentaires découlant de l’examen de l’organisme de certification.
    • 1.5 - 7 janvier 2022
      Mise à jour de la section Admissibilité.
    • 1.6 - 21 février 2022
      Mises à jour basées sur les commentaires formulés par les laboratoires d’essais.
    • 1.7 - 25 mars 2022
      Mises à jour basées sur les commentaires formulés par les laboratoires d’essais.
    • 1.8 - 8 juin 2022
      Changements de mise en forme
    • 1.9 - 20 janvier 2023
      Mises à jour des sections sur le non-respect des délais prescrits pour les jalons et sur les exigences cryptographiques des évaluations de conformité au EAL dont la fonctionnalité principale du produit est la cryptographie.
    • 2.0 - 12 février 2023
      Plusieurs changements mineurs apportés par souci de clarté et d’uniformité.

Vue d’ensemble

Le présent document contient toutes les instructions relatives aux évaluations effectuées en vertu du Programme canadien lié aux Critères communs.

Table des matières

1 Introduction

Les Critères communs pour l’évaluation de la sécurité des technologies de l’information (aussi appelés Critères communs ou CC) sont une norme internationale qui permet de préciser les exigences de sécurité des produits de technologies de l’information (TI). Le Centre canadien pour la cybersécurité (ci-après appelé le CCC ou Centre pour la cybersécurité) agit à titre d’organisme de certification (OC) pour les évaluations selon les Critères communs effectuées au Canada.

Le présent document procure aux centres d’évaluation selon les Critères communs (ci-après appelés laboratoires d’essais) de plus amples détails sur les évaluations réalisées en vertu du programme canadien.

Haut de la page

2 Admissibilité des évaluations

Le Centre pour la cybersécurité accepte les évaluations en vertu du programme des Critères communs dans l’ordre de priorité suivant :

  1. Les évaluations des profils de protection en vertu des Critères communs, notamment :
  2. Les types de technologies qui ne conviennent pas aux profils de protection (autres évaluations prises en compte dans la portée de l’Arrangement de reconnaissance des Critères communs [ARCC]). Au moment de rédiger le présent document, ces évaluations pouvaient atteindre le niveau d’assurance (EAL pour Evaluation Assurance Level).

Le Centre pour la cybersécurité pourra également envisager au cas par cas s’il convient d’accepter des évaluations qui outrepassent la portée de l’ARCC, notamment les évaluations avec un niveau d’assurance EAL 3 ou EAL 4.

Haut de la page

3 Fonctionnalités de base et essentielle

Pour les évaluations conformes au niveau d’assurance de l’évaluation (EAL pour Evaluation Assurance Level), où les spécifications des exigences fonctionnelles de sécurité (SFR pour Security Functional Requirement) ne sont pas prédéterminées dans un profil de protection, il est important de veiller à ce que l’évaluation aborde un ensemble pertinent de fonctionnalités de sécurité. Cela comprend la fonctionnalité de base et la fonctionnalité essentielle décrites ci-dessous.

3.1 Fonctionnalité de base

Par fonctionnalité de base, on entend l’objectif principal d’un produit en fonction de la façon dont il est mis en marché, y compris les interfaces annoncées, le cas échéant. Il pourrait être nécessaire de créer des SFR étendues dans les cas où les fonctionnalités de base de la cible d’évaluation (TOE pour Target of Evaluation) ne peuvent pas être représentées par les SFR existantes. Toute fonctionnalité ou interface incluse devrait être liée à la cybersécurité.

3.2 Fonctionnalité essentielle

Par fonctionnalité essentielle, on entend une fonctionnalité que le Centre pour la cybersécurité juge importante pour la cybersécurité du produit (selon la nature de la TOE), comme la gestion sécurisée et la communication inter-TOE.

3.3 Spécification des exigences

Les évaluations sont nécessaires pour inclure la fonctionnalité de base dans la TOE et toute fonctionnalité essentielle incluse (ou l’absence d’une telle fonctionnalité). Il incombe d’ailleurs au laboratoire d’essais de fournir une justification pour toute lacune relevée.

Haut de la page

4 Échéanciers des évaluations

Le Centre pour la cybersécurité reconnaît qu’il est impératif que l’évaluation soit effectuée en temps opportun, puisque les clients sont tenus de fournir l’assurance de la sécurité des versions actuelles de leurs produits de TI. Par conséquent, il est important que la durée d’évaluation des produits tienne compte du raccourcissement des cycles de vie des produits modernes.

Le Centre pour la cybersécurité estime que les évaluations modernes reposent sur une préparation rigoureuse des évaluations, notamment l’analyse fonctionnelle des lacunes. C’est pourquoi il a mis en place des jalons et des échéanciers auxquels les laboratoires d’essais devront se conformer au moment d’effectuer les évaluations.

4.1 Jalons des évaluations

Le Centre pour la cybersécurité reconnaît les jalons d’évaluation suivants :

  1. Cible de sécurité
  2. Conception et entropie
  3. Tests
  4. Évaluation finale

4.1.1 Jalon de la cible de sécurité

Pour se conformer au jalon de la cible de sécurité, le laboratoire d’essais doit réaliser toutes les activités d’évaluation associées à la classe d’assurance Évaluation d’une cible de sécurité.

Une fois le jalon de la cible de sécurité atteint, le Centre pour la cybersécurité ajoute le produit à la liste des produits en cours d’évaluation du Programme lié aux CC. La date stipulée dans la liste Produit en cours d’évaluation (PiE pour Product in Evaluation) correspondra à la date d’ajout du produit en question.

4.1.2 Jalon de la conception et de l’entropie

Pour se conformer au jalon de la conception et de l’entropie, le laboratoire d’essais doit réaliser toutes les activités d’évaluation associées à la classe d’assurance Développement et une analyse de l’entropie dès lors qu’une telle analyse est nécessaire pour se conformer au profil de protection (PP) mentionné.

4.1.3 Jalon des tests

Pour se conformer au jalon des tests, le laboratoire d’essais doit procéder à tous les tests fonctionnels et de pénétration requis.

4.1.4 Jalon de l’évaluation finale

Pour se conformer au jalon de l’évaluation finale, le laboratoire d’essais doit réaliser toutes les activités d’évaluation.

4.2 Délais prescrits pour les jalons

Le Centre pour la cybersécurité impose les délais suivants aux jalons d’évaluation décrits à la section 4.1 :

Conception et entropie Date PiE + 2 mois

Tests Date PiE + 4,5 mois

Évaluation finale Date PiE + 6 mois

Pour s’assurer que le Centre pour la cybersécurité a suffisamment de temps pour passer en revue les livrables de l’évaluation finale, on doit lui faire parvenir ces livrables au plus tard dans les deux semaines précédant les délais prescrits pour le jalon.

4.3 Demande de prolongation des délais prescrits pour les jalons

Le Centre pour la cybersécurité considérera les demandes transmises par les laboratoires d’essais pour obtenir une prolongation délais prescrits pour les jalons. Le laboratoire d’essais doit expliquer en détail la raison pour laquelle il ne peut respecter l’échéance, proposer une période de prolongation raisonnable et décrire les mesures qu’il prendra pour se conformer à cette nouvelle échéance.

4.4 Non-respect des délais prescrits pour les jalons

En cas de non-respect du délai prescrit pour un jalon, et en tenant compte de toute prolongation des délais prescrits accordée précédemment, le Centre pour la cybersécurité retirera le produit de TI de la liste des produits en cours d’évaluation. Cela dit, le laboratoire d’essais pourra continuer l’évaluation, qui demeurera admissible aux fins de certification.

Le Centre pour la cybersécurité se réserve le droit de mettre fin à l’évaluation. Les facteurs pouvant influencer une telle décision comprennent l’ampleur des retards liés à l’évaluation ou des changements apportés aux paramètres d’évaluation que le Centre pour la cybersécurité juge inacceptable.

Haut de la page

5 Évaluation des fonctionnalités cryptographiques

Le Centre pour la cybersécurité se base sur les résultats du Programme de validation des modules cryptographiques (PVMC) et du Programme de validation des algorithmes de chiffrement (CAVP pour Cryptographic Algorithm Validation Program) (en anglais seulement) pour veiller à ce que les évaluateurs puissent évaluer correctement les modules cryptographiques et les algorithmes visés par l’évaluation.

Remarque : Le Centre pour la cybersécurité gère le PVMC et le CAVP en partenariat avec le National Institute of Standards and Technology (NIST) des États-Unis.

5.1 Fonctionnalité cryptographique

  • Évaluations de conformité au PP : un certificat du CAVP est requis pour la cryptographie mentionnée.
  • Évaluations de conformité au EAL dont l’objectif principal de la TOE est la cryptographie : un certificat du PVMC est requis pour la cryptographie mentionnée.
  • Évaluations de conformité au EAL dont l’environnement offre la cryptographie nécessaire à la prise en charge de la fonctionnalité de la TOE : un certificat du PVMC est requis pour la cryptographie mentionnée.
  • Évaluations de conformité au EAL dont la TOE fournit la cryptographie utilisée pour prendre en charge les fonctionnalités : un certificat du CAVP peut être utilisé pour la cryptographie mentionnée. Dans certaines conditions, la mise à l’essai au moyen d’une implémentation valide connue peut être acceptable plutôt que le CAVP.

Dans tous les cas, seule la cryptographie approuvée par le Centre pour la cybersécurité doit être utilisée. L’ITSP.40.111, Algorithmes cryptographiques pour l’information NON CLASSIFIÉ, PROTÉGÉ A et PROTÉGÉ B décrit les algorithmes cryptographiques approuvés et les méthodes d’utilisation appropriées.

5.2 Vérification des versions cryptographiques

Le Centre pour la cybersécurité demande aux évaluateurs de vérifier la présence de toutes les versions cryptographiques mentionnées par le fournisseur. Les laboratoires d’essais ne peuvent se contenter de faire mention du certificat du CAVP ou du PVMC. Cette vérification peut s’effectuer de différentes façons selon le type de version et les accès aux fonctions sous-jacentes de la TOE qui ont été accordés à l’évaluateur.

5.3 Évaluation d’entropie

Le Centre pour la cybersécurité exige qu’une évaluation d’entropie soit réalisée dès que l’on fait mention d’une annonce de conformité à un profil de protection comportant des exigences relatives à la génération de nombres aléatoires (RNG pour Random Number Generator) par la TOE. Ces profils de protection énoncent clairement les cas où la cible de sécurité doit mentionner les fonctions de génération de nombres aléatoires.

Haut de la page

6 Tests effectués à distance

On s’attend à ce que les laboratoires d’essais testent les produits dans leurs installations. Dans des circonstances exceptionnelles, il pourrait être impossible de le faire. Vous trouverez ci-dessous les conditions dans lesquelles les laboratoires d’essais sont autorisés à tester les produits à distance et les exigences qu’il leur faudra respecter.

6.1 Conditions

Dans des circonstances exceptionnelles, les laboratoires d’essais peuvent demander d’effectuer des tests à distance s’ils se trouvent dans les situations suivantes :

  • Si les coûts associés à la mise à l’essai, à l’expédition et à la configuration de la TOE sont prohibitifs;
  • Si la configuration ou l’environnement de la TOE est extrêmement complexe et exige un soutien considérable du développeur;
  • Si la mise à l’essai exige des outils ou de l’équipement spécialisés que le fournisseur possède, mais ne peut fournir au laboratoire d’essais;
  • Autres conditions sujettes à l’approbation du Centre pour la cybersécurité.

6.2 Exigences

Pour obtenir l’approbation du Centre pour la cybersécurité d’effectuer des tests à distance, le laboratoire d’essais doit fournir les détails suivants :

  • une justification détaillée :
    • si on soulève la question des coûts, fournir une ventilation générale des coûts associés;
    • si on soulève la question de la complexité, expliquer pourquoi l’environnement ou la configuration de la TOE est extrêmement complexe;
    • si on soulève l’obligation d’utiliser des outils spécialisés, fournir les détails relatifs aux outils et la raison pour laquelle le laboratoire d’essais ne peut pas se les procurer;
  • une explication de la façon dont l’évaluateur se conformera aux exigences de AGD_PRE;
  • comment l’évaluateur effectuera les tests;
  • comment l’évaluateur assurera le contrôle continu de l’environnement;
  • les mesures qui seront prises pour garantir la présence de témoins.

Les demandes de tests à distance doivent être présentées le plus tôt possible, préférablement pendant l’étape d’admissibilité. Le Centre pour la cybersécurité accorde l’approbation finale pour toutes les demandes de tests à distance.

Haut de la page

7 Évaluation et correction des vulnérabilités

Les produits de TI pour lesquels un certificat des Critères communs est délivré ne doivent pas contenir de vulnérabilités non corrigées connues touchant la sécurité.

7.1 Évaluation

Toutes les vulnérabilités potentielles relevées durant la recherche dans le domaine public ou le processus automatisé de découverte basés sur des outils doivent être évaluées par le laboratoire d’essais selon les critères établis par le Centre pour la cybersécurité. Le processus d’évaluation doit être suffisamment détaillé pour déterminer si le produit et ses composants sont exempts de vulnérabilités touchant la sécurité.

7.2 Correction

Il est impératif de corriger toute vulnérabilité réelle qui a été relevée dans le produit évalué. S’il existe un correctif du fournisseur permettant de corriger la vulnérabilité, ce correctif doit être appliqué. Si le fournisseur n’offre aucun correctif, on peut gérer les vulnérabilités en adoptant une des approches suivantes :

  • supprimer la fonctionnalité touchée (option privilégiée);
  • désactiver la fonctionnalité touchée et publier un avis public expliquant le problème;
  • présenter le plan adopté par le fournisseur pour corriger la vulnérabilité.

Le Centre pour la cybersécurité accorde l’approbation finale pour toutes les approches adoptées pour corriger les vulnérabilités.

Haut de la page

8 Contenu complémentaire

8.1 Abréviations, acronymes et sigles

ARCC
Arrangement relatif à la reconnaissance des certificats liés aux Critères communs
CAVP
Programme de validation des algorithmes cryptographiques (Cryptographic Algorithm Validation Program)
CC
Critères communs
CST
Centre de la sécurité des télécommunications
EAL
Niveau d’assurance de l’évaluation (Evaluation Assurance Level)
GC
Gouvernement du Canada
NIST
National Institute of Standards and Technology
OSP
Politiques de sécurité organisationnelles (Organizational Security Policy)
PiE
Produit en cours d’évaluation (Product in Evaluation)
PP
Profil de protection
PVMC
Programme de validation des modules cryptographiques
RNG
Génération de nombres aléatoires (Random Number Generation)
SFR
SFR
ST
Cible de sécurité (Security Target)
STI
Sécurité des technologies de l’information
TI
Technologies de l’information
TOE
Cible d’évaluation (Target of Evaluation)
Signaler un problème ou une erreur sur cette page

Ce site est protégé par reCAPTCHA et les Règles de confidentialité et Conditions de service de Google s'appliquent.

Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :