ISO 15408 : la norme de référence pour sécuriser les produits IT

October 15, 2025

La sécurité informatique repose aujourd’hui sur des standards internationaux solides, qui permettent de certifier la fiabilité d’un système ou d’un produit. Si vous concevez ou utilisez des logiciels, du matériel ou des équipements embarqués, vous avez peut-être entendu parler de la norme ISO 15408, aussi appelée Common Criteria.

Elle permet de garantir qu’un produit respecte des exigences précises en matière de sécurité. Dans cet article, nous allons vous expliquer clairement à quoi correspond la norme ISO 15408, comment elle est structurée, dans quels cas elle est pertinente, et où se la procurer.

Qu’est-ce que la norme ISO 15408 (ou Common Criteria) ?

À quoi sert exactement ISO 15408 ?

La norme ISO 15408 (connue aussi sous le nom Common Criteria) est un cadre d’évaluation de la sécurité des produits IT. Elle permet de vérifier de façon structurée si un produit respecte des critères de sécurité prédéfinis.

Elle ne se limite pas à dire qu’un produit est “sûr”, mais fournit un référentiel commun entre fabricants, évaluateurs et clients. Résultat : on parle tous le même langage et on peut comparer objectivement différents produits.

Quelle différence entre ISO 15408 et d’autres normes de sécurité ?

Contrairement aux normes organisationnelles comme ISO 27001, ISO 15408 se concentre sur le produit lui-même : sa conception, ses fonctionnalités de sécurité, ses preuves de qualité, etc. Elle s’inscrit donc dans la famille des normes ISO techniques dédiées aux composants informatiques.

Comment est structuré le standard ISO/IEC 15408 ?

Quelles sont les différentes parties de la norme ISO/IEC 15408 ?

La norme est divisée en plusieurs documents complémentaires, numérotés. Le terme ISO/IEC 15408 désigne donc un ensemble modulaire :

  • ISO/IEC 15408‑1 : introduction générale, concepts, cadre d’utilisation
  • ISO/IEC 15408‑2 : catalogue des fonctions de sécurité possibles
  • ISO/IEC 15408‑3 : exigences d’assurance qualité
  • ISO/IEC 15408‑4 et 15408‑5 : méthodes d’évaluation et ensembles préconfigurés

C’est cette structuration qui permet de personnaliser les évaluations selon les types de produits ou les contextes d’usage.

Que contient précisément ISO/IEC 15408-2 ?

La partie ISO/IEC 15408‑2 est essentielle car elle regroupe toutes les exigences fonctionnelles de sécurité. Ces fonctions peuvent concerner :

  • le contrôle d’accès
  • la gestion des sessions
  • la journalisation des événements
  • le chiffrement
  • l’authentification
  • la séparation des données

Lorsqu’un fabricant veut faire certifier son produit, il doit déclarer les fonctions utilisées dans un document appelé Security Target (ST). Ces fonctions sont choisies dans le catalogue officiel de l’ISO/IEC 15408‑2.

Pourquoi envisager une certification ISO 15408 pour vos produits ?

Quels avantages apporte la certification ISO 15408 ?

Voici les bénéfices concrets d’une telle démarche :

  • une reconnaissance internationale, via le CCRA (Common Criteria Recognition Arrangement) ;
  • une crédibilité accrue auprès des clients sensibles (secteur public, défense, finance) ;
  • un avantage concurrentiel sur les appels d’offres incluant des critères de cybersécurité ;
  • un cadre structuré pour intégrer la sécurité dès la conception de vos produits.

Cela permet d’intégrer la sécurité informatique au cœur de vos produits, sans devoir tout reconstruire après.

Existe-t-il des contraintes ou des limites ?

Oui, notamment :

  • un coût non négligeable, surtout pour les niveaux d’assurance élevés (EAL5 et plus)
  • une durée de certification parfois longue (6 à 12 mois)
  • la nécessité de fournir une documentation très détaillée
  • la complexité de la démarche pour les entreprises non accompagnées

Où trouver un ISO 15408 PDF de référence ?

Peut-on accéder gratuitement à la norme ISO 15408 ?

La norme étant publiée par l’ISO, elle est disponible en version officielle uniquement via des plateformes payantes (ISO.org, AFNOR, ITeh, etc.). Si vous recherchez un ISO 15408 PDF, attention aux documents non vérifiés.

Cependant, certains sites proposent des extraits ou aperçus gratuits, comme :

  • les prévisualisations sur le site ISO
  • des extraits de ISO/IEC 15408-1:2022 au format PDF sur des portails de normes techniques
  • des résumés publiés par les laboratoires d’évaluation accrédités

Que contient un fichier ISO 15408 PDF officiel ?

Un ISO 15408 PDF comprend généralement :

  • les définitions et concepts (protection profiles, security targets…)
  • les fonctions de sécurité listées dans ISO/IEC 15408‑2
  • les critères d’assurance qualité selon ISO/IEC 15408‑3
  • des exemples, annexes, tableaux explicatifs

Ce document est la base de toute démarche de certification sérieuse. Il est aussi souvent accompagné du guide ISO/IEC 18045 pour la méthodologie d’évaluation.

Comment intégrer ISO 15408 dans un projet informatique ?

Quels types de produits peuvent être certifiés ISO 15408 ?

Tous les produits liés à la sécurité informatique peuvent entrer dans une démarche ISO 15408 :

  • solutions logicielles (antivirus, systèmes d’exploitation, logiciels de cryptographie)
  • équipements réseaux (pare-feu, routeurs, passerelles)
  • objets connectés (IoT), terminaux de paiement, lecteurs biométriques
  • modules matériels de sécurité (HSM, TPM…)

Quelles sont les grandes étapes pour une certification ?

  1. Définir le périmètre du produit à certifier
  2. Rédiger le Security Target (ST) ou choisir un Protection Profile (PP)
  3. Développer ou ajuster le produit selon les exigences d’ISO/IEC 15408
  4. Préparer les preuves (tests, documentation, processus)
  5. Travailler avec un laboratoire accrédité pour l’évaluation
  6. Obtenir la certification et la publier dans les registres officiels

Un accompagnement externe, comme celui proposé par un prestataire expert en sécurité et en normes ISO comme Everping, facilite grandement cette démarche.

Conclusion

La norme ISO 15408 (ou ISO/IEC 15408) est aujourd’hui un pilier de la sécurité informatique à l’échelle mondiale. Grâce à sa structure modulaire (notamment via ISO/IEC 15408‑2), elle permet d’évaluer de manière précise les fonctions de sécurité d’un produit.

Pour accéder au contenu complet, l’achat d’un ISO 15408 PDF via des organismes officiels reste la voie la plus fiable. Mais au-delà du document, c’est toute une démarche de confiance que vous engagez auprès de vos clients et partenaires.

Chez Everping, nous vous accompagnons dans vos projets de conformité, de cybersécurité et de certification. N'hésitez pas à nous solliciter si vous souhaitez intégrer ISO 15408 dans votre feuille de route.

Modèle de résiliation de contrat de maintenance informatique

Téléchargez gratuitement

Derniers articles

Voir tous les articles
ISO 27035 : comment structurer la gestion des incidents de sécurité dans votre entreprise

ISO 27035 : comment structurer la gestion des incidents de sécurité dans votre entreprise

La norme ISO 27035 vous aide à anticiper et traiter les incidents de sécurité informatique.

Lire l'article
9/10/2025
ISO 27017 : tout savoir sur cette norme de sécurité pour le cloud

ISO 27017 : tout savoir sur cette norme de sécurité pour le cloud

La norme ISO 27017 renforce votre sécurité et clarifie les rôles fournisseur et clients

Lire l'article
8/10/2025