La Norme ISO 15408

Evaluation criteria for IT Security (Common Criteria) (Critere d'évaluation de la sécurité des Technologies d'information) Née en 1996, la norme ISO 15408 (également baptisée « Common Criteria » ou « Critères Communs ») permet d'avoir une assurance de sécurité sur des criteres précis pour un produit ou un système (matériel de sécurité, firewall, mécanisme de cryptologie..). Elle permet de certifier les niveaux de défense procurés par les composants de sécurité des systèmes d'informations. Cette norme vise à vérifier si un produit est sécurisé ou pas. Plus exactement, elle affecte au produit évalué un niveau de sécurité sur une échelle de 1 à 7. Les critères de validation sont communs entre les grands pays industriels : USA, Japon, Canada, Allemagne, Grande Bretagne, France, Italie ... d'où le nom de "Critères Communs".

Ceux-ci présentent les exigences concernant la sécurité d'un produit ou d'un système des technologies de l'information sous deux formes distinctes :

 Les exigences fonctionnelles définissent le comportement de sécurité souhaité ; elles décrivent les fonctionnalités de sécurité que peut mettre en œuvre un produit.

 Les exigences d'assurance constituent la base pour acquérir la confiance du fait que les mesures de sécurité sont conformes aux spécifications et sont efficaces.

Les EAL constituent l'échelle d'assurance prédéfinie des "Critères Communs" . Il en existe sept niveaux :

 EAL1 -testé fonctionnellement

 EAL2 -testé structurellement

 EAL3 -testé et vérifié méthodiquement

 EAL4 -conçu, testé et vérifié méthodiquement

 EAL5 -conçu et testé de façon semi-formelle

 EAL6 -vérifié, conçu et testé de façon semi-formelle

 EAL7 -vérifié, conçu et testé de façon formelle