Actualisation des Exigences et lignes directrices du CCN relatives à l’accréditation des installations d’évaluation et d’essais de produits de sécurité des technologies de l’information

Date du bulletin:
Numéro du bulletin:
2025-05

Public cible

Le présent bulletin s’adresse à la clientèle accréditée, aux candidats à l’accréditation, au Groupe consultatif sur l’accréditation (GCA) et au personnel ainsi qu’aux évaluatrices et évaluateurs du domaine de spécialité des installations d’évaluation et d’essais de produits de sécurité des technologies de l’information, volet du Programme d’accréditation des laboratoires d’essais et d’étalonnages (PAL).

Points à retenir 

Par souci de clarté, le Centre canadien pour la cybersécurité vient de modifier la portée d’accréditation du Programme canadien lié aux Critères communs, dont il est responsable de système. La nouvelle version a été intégrée dans l’Annexe A des Exigences et lignes directrices du CCN relatives à l’accréditation des installations d’évaluation d’essais de produits de sécurité des technologies de l’information (EEPSTI).

Dans le texte, la section suivante a été reformulée : 

  • ISO/IEC 15408: Sécurité de l'information, cybersécurité et protection de la vie privée – Critères d'évaluation pour la sécurité des technologies de l'information – Partie 1
  • ISO/IEC 15408: Sécurité de l'information, cybersécurité et protection de la vie privée – Critères d'évaluation pour la sécurité des technologies de l'information – Partie 2
  • ISO/IEC 15408: Sécurité de l'information, cybersécurité et protection de la vie privée – Critères d'évaluation pour la sécurité des technologies de l'information – Partie 3

On y lit à présent:

ISO/IEC 15408: Sécurité de l'information, cybersécurité et protection de la vie privée – Critères d'évaluation pour la sécurité des technologies de l'information – Toutes les parties 

Vu que des nouvelles parties de la norme ISO/IEC: 15408 sont ajoutées périodiquement au Programme canadien lié aux Critères communs, la modification est pensée pour limiter les changements apportés à la documentation présentant les exigences d’évaluation.

Mesures à prendre

Les nouvelles exigences entrent en vigueur immédiatement. Les portées d’accréditation EEPSTI seront actualisées à la prochaine activité d’accréditation, à savoir une évaluation de réaccréditation ou la soumission du questionnaire de surveillance annuelle.

Portée d’accréditation

Selon les normes suivantes :

  • ISO/IEC 15408: Sécurité de l'information, cybersécurité et protection de la vie privée – Critères d'évaluation pour la sécurité des technologies de l'information – Toutes les parties
  • ISO/IEC 18045: Sécurité de l'information, cybersécurité et protection de la vie privée – Méthodologie pour l'évaluation de sécurité

La portée d’accréditation inclut les activités d’évaluation et d’essais suivantes :

  • APE : Évaluation de profils de protection
  • ACE : Évaluation de la configuration des profils de protection
  • ASE : Évaluation d’une cible de sécurité
  • EAL1 : Premier niveau d’assurance de l’évaluation
  • EAL2 : Deuxième niveau d’assurance de l’évaluation
  • EAL3 : Troisième niveau d’assurance de l’évaluation
  • EAL4 : Quatrième niveau d’assurance de l’évaluation
  • ALC_FLR : Correction d’anomalies
  • cPP : Profils de protections approuvés par le SCCC

Dates importantes

Aucune mesure immédiate ne s’impose pour les installations EEPSTI.

 

Le Conseil canadien des normes actualisera la portée d’accréditation des organismes touchés lors de la prochaine évaluation de réaccréditation ou à l’examen du questionnaire de surveillance annuel, comme mentionné plus haut.

Questions

Pour tout complément d’information, communiquer avec Jason Hachey, gestionnaire, Service de la conformité et des évaluations : jason.hachey@ccn-scc.ca ou +1 613-238-3222.