Accords de reconnaissance mutuelle des Critères Communs
L’ANSSI a signé deux accords de reconnaissance mutuelle de certificats :
Accord de reconnaissance mutuelle européen : SOG-IS
L’accord européen de reconnaissance mutuelle du SOG-IS de 2010 permet la reconnaissance entre les États signataires de l’accord, des certificats délivrés par leur autorité de certification.
Aujourd’hui, deux domaines techniques sont couverts par le présent accord pour les hauts niveaux de reconnaissance : celui des « microcontrôleurs sécurisés et produits similaires » et celui des « équipements matériels avec boîtiers sécurisés ».
La France est reconnue pour ces deux domaines techniques jusqu’au niveau EAL7. Pour les autres catégories de produits, la reconnaissance s’applique jusqu’au niveau EAL4 des critères communs.
Voici la liste en cours de validité des États signataires de l’accord :
- la France, représentée par l’ANSSI (cyber.gouv.fr)
- l’Allemagne, représentée par le BSI (bsi.bund.de)
- l’Autriche, représentée par sa chancellerie fédérale (digitales.oesterreich.gv.at)
- Danemark, FCS – Centre for Cyber Security (cfcs.dk)
- l’Espagne, représenté par l’OCSTI (oc.ccn.cni.es)
- Estonie, RIA – Riigi Infosüsteemi Amet (ria.ee/en/)
- la Finlande, représentée par la FICORA (ficora.fi)
- l’Italie, représentée par l’OCSI (ocsi.isticom.it)
- Luxembourg, ANSSI.lu – Agence Nationale de la Sécurite des Systèmes d’Information Luxembourg (anssi.lu)
- la Norvège, représentée par la SERTIT(sertit.no)
- les Pays-Bas, représentés par la NLNCSA (tuv-nederland.nl)
- la Pologne, représentée par le NASK (nask.pl)
- le Royaume-Uni, représenté par le NCSC (ncsc.gov.uk)
- la Suède, représentée par le FMV/CSEC (csec.se)
Les organismes de certification qualifiés pour émettre des certificats de haut niveau dans le domaine technique des « microcontrôleurs sécurisés et produits similaires » sont actuellement :
- pour la France, l’ANSSI (cyber.gouv.fr)
- pour l’Allemagne, le BSI (bsi.bund.de)
- pour les Pays-Bas, la NLNCSA (tuv-nederland.nl)
- pour le Royaume-Uni, le NCSC (ncsc.gov.uk)
- pour l’Espagne, le CCN (oc.ccn.cni.es)
Arrangement de reconnaissance mutuelle selon les Critères communs : CCRA
La nouvelle version de l’accord du Common Criteria Recognition Arrangement (CCRA) est applicable depuis le 8 septembre 2014.
Ce nouvel accord définit un nouveau type de Profil de protection (PP) dans son annexe K : le « Collaborative PP » (cPP). Il s’agit d’un PP qui dispose d’une méthode d’évaluation dédiée raffinant les CC génériques. Ce cPP associé à sa méthode d’évaluation est rédigé par une communauté technique internationale dite iTC. Les méthodes d’évaluation spécifiques à un cPP sont approuvées dans le cadre du CCRA.
Les limites de la reconnaissance du CCRA sont désormais établies en fonction du type de démarche d’évaluation mise en œuvre :
- pour une évaluation réalisée selon les CC génériques (qu’un PP standard soit pris en compte ou non), la reconnaissance mutuelle s’applique jusqu’au niveau d’évaluation EAL2 ainsi qu’à la famille ALC_FLR ;
- pour une évaluation conforme à un cPP, la reconnaissance mutuelle s’applique jusqu’au niveau d’évaluation identifié dans le cPP. Le niveau des cPP est limité à EAL2 par défaut ; ce niveau peut être étendu à EAL4 si l’iTC peut démontrer que les travaux sont suffisamment objectifs pour être mis en œuvre par tous les schémas du CCRA.
Enfin, un plan de transition entre les deux versions de l’accord a été établi (voir article 17 du nouvel l’accord). Jusqu’au 8 septembre 2017, peuvent être reconnues jusqu’à EAL4 (i.e selon les termes de l’ancien accord) :
- les évaluations de produits si celles-ci ont été enregistrées avant le 8 septembre 2014 ;
- les maintenances ou réévaluations de produits qui disposent d’un précèdent certificat reconnu selon les termes de l’ancien accord.
Les certificats reconnus dans le cadre de cet accord sont émis avec la marque :
Les organismes de certification qualifiés pour émettre des certificats dans le cadre de cet accord sont :
- pour la France, l’ANSSI, anciennement DCSSI (cyber.gouv.fr)
- pour l’Allemagne, le BSI (bsi.bund.de)
- pour l’Australie et la Nouvelle Zélande, l’AISEP (dsd.gov.au)
- pour le Canada, le CSE (cse-cst.gc.ca)
- pour la République de Corée, l’ITSCC (kecs.go.kr)
- pour l’Espagne, le CCN (oc.ccn.cni.es)
- pour l’Inde, l’IC3S (commoncriteria-india.gov.in)
- pour l’Italie, l’OCSI (ocsi.isticom.it)
- pour le Japon, l’ IPA (ipa.go.jp)
- pour la Malaisie, la Cybersecurity Malaysia (cybersecurity.my)
- pour la Norvège, la SERTIT(sertit.no)
- pour les Pays-Bas, le NSCIB (tuv-nederland.nl)
- pour le Royaume-Uni, le NCSC (ncsc.gov.uk)
- pour la Suède, le FMV/CSEC (fmv.se)
- pour la Turquie, le TSE, (tse.org.tr)
- pour les USA, le NIAP (nsa.gov)
Une quinzaine d’autres États signataires de l’accord n’émettent pas de certificats mais les reconnaissent. La liste de ces États est indiquée sur le site des critères communs : www.commoncriteriaportal.org