Page d'accueil
Retour à l'aperçu

Common Criteria / EAL

Les Common Criteria (CC) sont une norme internationale pour l'évaluation des propriétés de sécurité des produits et systèmes informatiques, publiée sous la norme ISO/IEC 15408. Ils ont été développés dans les années 1990 conjointement par l'Allemagne, les États-Unis, le Canada, la France et le Royaume-Uni, afin d'établir une base unifiée et internationalement reconnue pour les évaluations de sécurité informatique. L'objectif est de confirmer de manière vérifiable, par des organismes d'évaluation indépendants, qu'un produit remplit effectivement les fonctions de sécurité qu'il revendique. En Allemagne, l'Office fédéral de la sécurité des technologies de l'information (BSI) est l'organisme de certification compétent.

Le système d'évaluation central des Common Criteria est constitué des Evaluation Assurance Levels, ou EAL, qui vont de EAL1 à EAL7. À mesure que le niveau augmente, la profondeur, l'étendue et les exigences méthodologiques de l'évaluation croissent. Tandis qu'EAL1 représente une vérification fonctionnelle de base, EAL4 requiert déjà l'analyse du code source par des évaluateurs spécialisés. Les niveaux à partir d'EAL5 sont, en raison de leur complexité, principalement pertinents en pratique pour les applications hautement sécurisées dans les domaines militaire et gouvernemental. À l'échelle internationale, les certificats jusqu'à EAL2 sont mutuellement reconnus ; au sein de l'Europe, la reconnaissance mutuelle s'étend jusqu'à EAL4 dans le cadre de l'accord SOG-IS.

Dans les environnements d'entreprise, une certification Common Criteria est particulièrement pertinente lorsque des produits informatiques doivent être déployés dans des domaines critiques pour la sécurité, tels que les administrations, les infrastructures critiques ou le secteur de la santé. De nombreux donneurs d'ordre publics en Allemagne exigent une certification CC pour certaines catégories de produits comme condition préalable à leur acquisition. Pour les fabricants de logiciels de sécurité, de pare-feu ou de solutions MDM, une certification Common Criteria constitue également un signal de qualité important auprès de clients exigeants du secteur public.

Un avantage majeur de la certification Common Criteria est la fiabilité objective d'un produit, confirmée par des organismes indépendants. Plutôt que de se fier aux déclarations du fabricant, les acheteurs et les responsables informatiques disposent d'une évaluation neutre de la performance de sécurité réelle. À une époque de cybermenaces croissantes et d'exigences de conformité renforcées par des réglementations telles que NIS2, cette validation indépendante gagne en importance.

Pour les organisations évaluant des produits informatiques en vue d'un déploiement dans des environnements critiques pour la sécurité, la certification Common Criteria est un critère de sélection central. Le rôle qu'elle joue dans le choix d'une solution de gestion des appareils adaptée peut être consulté à cet endroit.