Accords de reconnaissance mutuelle des Critères Communs (CC)
Schéma de certification européen fondé sur les critères communs
L'EUCC est le premier schéma de certification européen ( EU Common Criteria) à créer une harmonisation européenne de la certification qui vise à remplacer SOG-IS. La reconnaissance vaut dans toute l'Europe.
Chaque état-membre a les mêmes objectifs et règles de certification en suivant le Cybersecurity Act (Règlement (EU) 2024/482).
Cette certification européenne exige la publication du certificat ; le logo SOG-IS ne sera pas présent dessus.
Les activités de certification relatives à la sécurité publique, à la défense et à la sécurité nationale ne sont pas couvertes par EUCC et font l’objet d’une certification nationale (sans la marque EUCC présente sur le certificat)
Il est donc possible d'avoir sur un certificat le logo CCRA et/ou EUCC ou aucun des 2.
Comprendre le positionnement du Centre de Certification :
Évaluation :
- Enregistrement possible depuis le 27/02/2024
- Certification possible depuis 27/02/2025 selon EUCC (et depuis le 31/03/2025 pour CCN qui a obtenu l’autorisation)
Évaluation :
- Enregistrement impossible depuis le 27/02/2025
- Réception du RTE par CCN possible jusqu'au 27/08/2025
- Certification possible jusqu'au 27/02/2026
Maintenance :
- Enregistrement possible tant que la validité du certificat SOG-IS n'est pas échue ( date du dernier certificat SOG-IS +5 ANS --> 27/02/2031
- Emission du rapport de maintenance avant la date d’expiration du certificat SOG-IS
Réduction de périmètre :
- Enregistrement possible en 2025
- Certification impossible à partir du 27/02/2026
Accord de reconnaissance mutuelle européen : SOG-IS
L’accord européen de reconnaissance mutuelle du SOG-IS de 2010 permet la reconnaissance entre les États signataires de l’accord, des certificats délivrés par leur autorité de certification.
Aujourd’hui, deux domaines techniques sont couverts par le présent accord pour les hauts niveaux de reconnaissance : celui des « microcontrôleurs sécurisés et produits similaires » et celui des « équipements matériels avec boîtiers sécurisés ».
La France est reconnue pour ces deux domaines techniques jusqu’au niveau EAL7. Pour les autres catégories de produits, la reconnaissance s’applique jusqu’au niveau EAL4 des critères communs.
La liste en cours de validité des États signataires est présente (Ouvre une nouvelle fenêtre) ici.
Suite à l'arrivée du schéma EUCC, depuis le 27 Février 2025 il n'est plus possible de faire parvenir au centre de certification national de nouvelles demandes d'évaluation avec l'accord de reconnaissance SOG-IS.
De ce fait, il est à noter que dès le 27 février 2026 plus aucun certificat SOG-IS ne pourra être émis.
Accord-SOG-IS - V2 - avril 1999
PDF - 202,5 Kio
Accord-SOG-IS - V3 - janvier 2010
PDF - 1,5 Mio
Arrangement de reconnaissance mutuelle selon les Critères communs : CCRA
La nouvelle version de l’accord du Common Criteria Recognition Arrangement (CCRA) est applicable depuis le 8 septembre 2014.
Ce nouvel accord définit un nouveau type de Profil de protection (PP) dans son annexe K : le « Collaborative PP » (cPP). Il s’agit d’un PP qui dispose d’une méthode d’évaluation dédiée raffinant les CC génériques. Ce cPP associé à sa méthode d’évaluation est rédigé par une communauté technique internationale dite iTC. Les méthodes d’évaluation spécifiques à un cPP sont approuvées dans le cadre du CCRA.
Les limites de la reconnaissance du CCRA sont désormais établies en fonction du type de démarche d’évaluation mise en œuvre :
- pour une évaluation réalisée selon les CC génériques (qu’un PP standard soit pris en compte ou non), la reconnaissance mutuelle s’applique jusqu’au niveau d’évaluation EAL2 ainsi qu’à la famille ALC_FLR ;
- pour une évaluation conforme à un cPP, la reconnaissance mutuelle s’applique jusqu’au niveau d’évaluation identifié dans le cPP. Le niveau des cPP est limité à EAL2 par défaut ; ce niveau peut être étendu à EAL4 si l’iTC peut démontrer que les travaux sont suffisamment objectifs pour être mis en œuvre par tous les schémas du CCRA.
Enfin, un plan de transition entre les deux versions de l’accord a été établi (voir article 17 du nouvel l’accord). Jusqu’au 8 septembre 2017, peuvent être reconnues jusqu’à EAL4 (i.e selon les termes de l’ancien accord) :
- les évaluations de produits si celles-ci ont été enregistrées avant le 8 septembre 2014 ;
- les maintenances ou réévaluations de produits qui disposent d’un précèdent certificat reconnu selon les termes de l’ancien accord.
Les certificats reconnus dans le cadre de cet accord sont émis avec la marque.
Les organismes de certification qualifiés pour émettre des certificats sont listés (Ouvre une nouvelle fenêtre) ici.
Une quinzaine d’autres États signataires de l’accord n’émettent pas de certificats mais les reconnaissent. La liste de ces États est indiquée sur le site des critères communs : (Ouvre une nouvelle fenêtre) www.commoncriteriaportal.org
Recognition of common criteria certificates - v. May, 2000
PDF - 115,0 Kio
Recognition of common criteria certificates - v. July, 2014
PDF - 411,6 Kio