On peut penser qu’un produit de sécurité est lui-même sécurisé et assume bien son rôle parce que son voisin dont la sécurité repose sur le même produit ne s’en est jamais plaint. On peut penser que si un produit de sécurité est développé ou commercialisé par une organisation qui a bonne réputation sur le marché de la sécurité, ce produit est sûr. On peut également admettre que si un produit coûte cher, c’est qu’il est bon. Et plutôt que de comparer deux produits, mieux vaut comparer la réputation de leurs concepteurs, leurs professions de foi ou encore leurs réseaux de distribution et leurs parts de marché.
Ou alors on se base sur des référentiels différents. On peut considérer qu’un produit de sécurité assure sa fonction, n’assure que sa fonction et toute sa fonction, s’il est passé à travers une batterie de tests, les mêmes pour tous les produits équivalents, qui poussent à un niveau suffisant les contrôles sur toute la surface des fonctionnalités attendues de ce produit et avec une profondeur suffisante. On peut vouloir vérifier, par un certificat, que ces tests ont été réalisés par un organisme indépendant et que le résultat a reçu l’aval d’un organisme d’état, reconnu sur le plan international. On veut être persuadé que deux produits assurant les mêmes fonctionnalités ont passé les mêmes tests, avec le même degré d’exigence, sur la même surface des produits et la même profondeur d’évaluation.
Au premier paragraphe est décrite une assurance de sécurité qu’on pourrait qualifier de « plutôt subjective ». Vous y croyez à cette sécurité ? Moi non plus ! Au deuxième paragraphe, on décrit une assurance de sécurité objective qui, de plus, permet de comparer deux produits équivalents. Vous préférez ? Alors bienvenue dans le monde des Critères Communs !