Présentation des certifications Critères Communs

Publié le 04 Août 2022 Mis à jour le 29 Septembre 2023

La certification dite tierce partie est la certification de plus haut niveau, qui permet à un client de s’assurer par l’intervention d’un professionnel indépendant, compétent et contrôlé, appelé organisme certificateur, de la conformité d’un produit à un cahier des charges ou à une spécification technique.

La certification tierce partie apporte au client la confirmation indépendante et impartiale qu’un produit répond à un cahier des charges ou à des spécifications techniques publiées. Ces spécifications techniques peuvent être élaborées dans un cadre normatif ou non.

Le décret 2002-535

Le décret 2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits des technologies de l’information décrit le schéma de certification français pour les produits et les systèmes de sécurité.

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est chargée d’instruire les certifications selon les directives données par le comité directeur de la certification.

La certification s’appuie sur des travaux d’évaluation réalisés par des laboratoires agréés par le Premier ministre et accrédités par le Comité français d’accréditation (COFRAC) selon la norme NF EN ISO/CEI 17025. Ces laboratoires sont communément appelés Centres d’évaluation de la sécurité des technologies de l’information (CESTI). Les évaluations sont menées conformément à des normes ou standards spécifiés par l’ANSSI.

Les certificats

Les certificats émis par l’ANSSI par délégation du Premier ministre attestent que les produits certifiés sont conformes à une spécification technique appelée cible de sécurité.

Cette cible de sécurité peut elle-même être certifiée conforme à un cahier des charges appelé profil de protection. Ce profil permet d’exprimer des exigences de haut niveau et peut être partagé par une communauté d’intérêts telle que la communauté bancaire, celle de la santé ou du transport…

Les produits ou systèmes certifiés peuvent arborer la marque « Certification Sécurité TI » ci-dessous :

Reconnaissance internationale

En vertu des accords internationaux signés par l’ANSSI, les certificats émis peuvent être reconnus hors de France.

Maintenance d’un certificat

Le certificat atteste, au jour de sa signature, de la conformité d’une version précise d’un produit ou d’un système aux exigences listées dans sa cible de sécurité.

Pour prolonger dans le temps la confiance dans cette conformité ou faciliter la certification des évolutions d’un produit précédemment certifié, le centre de certification propose des solutions de maintenance de certificats.

Les procédures, les normes et les standards d’évaluation et de certification spécifiés par l’ANSSI sont publiés sur ce site.

 

Sur le même sujet :
Développer des solutions de confiance