Vue d'ensemble du SCCC

Le SCCC est un service d'évaluation et de certification offert par une tierce partie autonome canadienne qui vérifie la fiabilité de produits et de systèmes de sécurité des TI.

VOS BESOINS

A titre de client : vous avez besoin de produits TI fiables, mis à l'essai et reconnus capables de contrer un nombre croissant de menaces qui pèsent sur les systèmes et les réseaux - et vous en avez besoin le plus tôt possible.

À titre de fabricant/fournisseur de logiciels : vous voulez une méthode d'évaluation de vos produits de sécurité qui soit rapide et reconnue non seulement au Canada, mais également dans d'autres marchés importants.

À titre de spécialiste en sécurité des TI : vous avez besoin de débouchés et de créneaux qui vous permettent de répondre aux besoins du marché - et aux vôtres - en facilitant son expansion et sa prospérité.

Qui que vous soyez - client, fabricant/fournisseur de logiciels ou spécialiste en sécurité des TI - vous serez heureux d'apprendre que le gouvernement du Canada, comme un certain nombre de gouvernements étrangers, a mis sur pied un programme qui répond à vos besoins : le Schéma canadien d'évaluation et de certification selon les Critères communs
(version abrégée : Schéma canadien lié aux Critères communs ou SCCC).

LE SCHÉMA CANADIEN LIÉ AUX CRITÈRES COMMUNS : ÉVALUATION RAPIDE DE PRODUITS DE SÉCURITÉ POUR LES MARCHÉS MONDIAUX IMPORTANTS

Les gouvernements du Canada, des états-Unis, du Royaume-Uni, des Pays-Bas, de l'Allemagne et de la France sont tous arrivés à la même conclusion : pour accélérer le processus d'approbation des produits de sécurité des TI si nécessaires aujourd'hui - et pour augmenter le nombre de débouchés accessibles aux fournisseurs - l'approche voulant que « le produit soit testé dans chaque pays » doit être remplacée. Ainsi, en octobre 1998, cinq des six pays ont signé un arrangement de reconnaissance mutuelle fondé sur les Critères communs (CC) et la méthodologie commune (CEM) pour l'évaluation de la sécurité des TI. En vertu de cet accord, un produit approuvé par un de ces cinq pays est par le fait même approuvé par les quatre autres.

Pour répondre aux besoins des pays qui ne veulent pas fournir de certificats aux fins d'une reconnaissance mutuelle mais qui tiennent cependant à reconnaître les produits certifiés en vertu des CC, l'arrangement de reconnaissance mutuelle a été remplacé par l'Arrangement sur la reconnaissance des certificats liés aux Critères communs (ARCC). Celui-ci permet aux pays de participer au projet sur les CC à titre de fournisseur de certificats, comme le Canada, ou à titre d'utilisateur de certificats.

Pour les clients : le SCCC permet un accès plus rapide à des produits STI certifiés, ce qui importe dans un univers peuplé de pirates et d'autres facteurs de menace.

Pour les fournisseurs : le SCCC accélère la mise en vente de leurs nouveaux produits STI, réduit les dépenses potentielles liées aux tests coûteux et permet l'accès à un marché plus vaste.

Pour les spécialistes en sécurité des TI : le SCCC offre des possibilités d'affaires, notamment l'occasion d'établir des « centres d'évaluation selon les Critères communs » (CECC) accrédités à titre d'installations d'évaluation et d'essais de produits STI (EEPSTI) en vertu de la norme ISO/IEC 17025-2005, et approuvés par le CSTC pour effectuer des évaluations selon les CC.

FONCTIONNEMENT DU SCCC - VERSION ABRÉGÉE

Dans le cadre du Schéma canadien lié aux CC, le secteur privé exploite des CECC au Canada.

Il va sans dire que l'intégrité et la compétence des CECC sont essentielles. D'une part, les utilisateurs doivent avoir la certitude que les fonctions de sécurité des produits évalués par les CECC correspondent exactement aux résultats publiés, que les produits aient été fabriqués au Canada ou ailleurs. D'autre part, les fabricants/fournisseurs doivent pouvoir compter sur l'équité de la procédure d'évaluation et sur la protection de leurs secrets commerciaux. Finalement, pour assurer la viabilité de l'ARCC, les évaluations effectuées par les CECC et les laboratoires accrédités des autres parties à l'accord doivent être incontestables.

Voilà pourquoi les laboratoires intéressés à devenir des CECC doivent présenter une demande d'accréditation au Conseil canadien des normes (CCN) par l'entremise du Programme canadien d'accréditation des laboratoires d'évaluation et d'essai des produits STI (ISO/IEC 17025-2005). C'est aussi la raison pour laquelle le Centre de la sécurité des télécommunications Canada (CSTC) - l'organisme de sécurité et de cryptographie du gouvernement du Canada - a mis sur pied un organisme interne de certification qui surveille le fonctionnement du SCCC et certifie le travail d'évaluation. Spécialisé depuis plus de 50 ans dans le domaine de la sécurité de l'information, le CSTC a l'effectif et l'expertise voulus pour s'assurer que les CECC du secteur privé répondent pleinement aux attentes.

Une fois accrédités et approuvés, les CECC du Canada sont les catalyseurs qui permettent au SCCC de bien remplir son rôle. Ainsi, les fabricants/fournisseurs de produits STI peuvent compter sur des évaluations de sécurité rapides et les utilisateurs disposent plus tôt des produits dont ils ont besoin, sans que la qualité de ceux-ci ne soit compromise. Bref, les solutions de sécurité fournies par le SCCC aux utilisateurs du gouvernement et du secteur privé sont non seulement les meilleures, mais aussi les plus rapides et les plus fiables.