Le Cybersecurity Act marque une avancée déterminante pour l’autonomie stratégique européenne. Les éditeurs européens vont pouvoir marquer leur différence.

Adoption définitive du Cybersecurity Act. Paru au Journal Officiel de l’Union européenne le 7 juin 2019, ce règlement marque une véritable avancée pour l’autonomie stratégique européenne. Il poursuit un double objectif : l’adoption du mandat permanent de l’ENISA, l’Agence européenne pour la cybersécurité, et la définition d’un cadre européen de certification de cybersécurité, essentiel pour renforcer la sécurité du marché unique numérique européen.

Issue de la feuille de route de la Commission européenne en matière de sécurité du numérique, le règlement européen a fait l’objet d’intenses négociations depuis septembre 2017. Le Cybersecurity Act traite deux sujets distincts mais complémentaires. D’une part, l’adoption d’un mandat permanent pour l’ENISA, l’Agence européenne pour la cybersécurité, valorisant et développant son rôle de facilitateur des échanges entre les Etats membres; d’autre part, il a défini un cadre européen de certification de cybersécurité pour harmoniser à l’échelle européenne les méthodes d’évaluation et les différents niveaux d’assurance de la certification. Concrètement, le Cybersecurity Act prévoit -pour la première fois- un dispositif européen uniformisé de certification en matière de cybersécurité pour les produits, les procédures et les services.

Créer de la confiance

Pratiquement, un prestataire de cybersécurité ne sera plus obligé de passer par plusieurs schémas de certification nationaux pour pouvoir diffuser ses produits, services et processus ICT sur les marchés nationaux visés. «C’est un grand pas pour la cybersécurité européenne, se réjouit Peter Braem, CEO, Cyber Security Management. L’ANSSI -forte de vingt années d’expérience en matière de certification- en sera le pivot. Pour Cyber Security Management, c’est évidemment une excellente nouvelle : nous sommes les seuls en Europe à proposer autant de produits de cybersécurité déjà certifiés par l’ANSSI !» Pour rappel, Cyber Security Managemernt distribue et installe les produits d’éditeurs européens comme Wallix, IDECSI, Ilex International, Vade Secure ou bien encore Rhode & Schwarz Cybersecurity.

L’objectif affiché par le Règlement est double. Rationaliser d’abord les schémas de certifications de cybersécurité à l’échelle européenne en les éliminant à l’échelle des Etats membres, dès lors que leurs schémas de certifications étaient souvent contradictoires ou faisaient double emploi. Cela entrainera une réduction substantielle des coûts pesant sur les entreprises de cybersécurité tout en apportant une rationalisation technique des certifications et au final une politique commune de cybersécurité.

«L’uniformisation des certifications permettra de créer de la confiance, d’augmenter la cybersécurité générale sur le territoire de l’Union et de doter le marché européen de la taille critique pour les prestataires en cybersécurité», poursuit Peter Braem.

Trois niveaux d’assurance par certificats

A terme, les schémas européens de certification devront renforcer la transparence du marché des produits et services ICT en donnant des indications sur leur niveau d’assurance. Le Règlement prévoit trois niveaux d’assurance pour chaque type de certificat de cybersécurité européen : «élémentaire», «substantiel» ou «élevé».

Exhaustif, le Règlement pousse le degré de précision du schéma de certification jusqu’à définir le nombre de fonctions sécurisées pour tous les niveaux d’assurance : une configuration sécurisée prête à l’emploi, un code signé, une mise à jour sécurisée, ainsi que la limitation de l’exploitation de failles et des protections complètes (full stack). Il s’agirait en quelque sorte d’un socle commun de fonctions sécurisées imposées au produit ou service.

Le Considérant 87 du Règlement indique à l’endroit des acteurs concernés que le développement et la maintenance de leurs produits devront se fonder «sur des approches (…) mettant l’accent sur la sécurité et des outils associés». Et d’inscrire un principe de Security by Design au cœur de leurs projets de développements permettant de «garantir que des mécanismes efficaces au niveau tant du logiciel que du matériel sont incorporés de manière fiable»…

Le Cybersecurity Act est un acte juridique européen, de portée générale, obligatoire dans toutes ses dispositions. Les États-membres sont donc tenus d’appliquer ces dernières telles qu’elles; ils disposent toutefois de deux ans pour se mettre en conformité avec les dispositions impactant leur organisation nationale. «En créant une certification unique dans toute l’Union européenne, les institutions européennes visent à supprimer les obstacles potentiels à l’entrée sur le marché et à réduire les coûts, poursuit Peter Braem. En cela, c’est une formidable nouvelle ! Pensez donc : ni les entreprises ni les organisations n’auront plus à obtenir un certificat de cybersécurité différent dans chaque pays. Les consommateurs et les entreprises vont pouvoir plus facilement choisir entre des produits et des services plus sécurisés, ce qui devrait favoriser la confiance dans les nouvelles technologies de manière générale.»