L’ACN s’est fortement mobilisée tout au long du parcours législatif de ce texte et a proposé de nombreux commentaires et amendements à ce projet afin notamment qu’il intègre les acquis et les savoir-faire développés les industries de la confiance numérique depuis plus de 20 ans et préserve une ambition forte de cybersécurité globale pour l’Europe.
Après deux ans de travaux, le Parlement européen a adopté en session plénière, le “European Cybersecurity Act”. Ce texte vient compléter les bases réglementaires qui permettront à terme de rehausser le niveau de cybersécurité à travers toute l’Europe. L’Alliance pour la confiance numérique (ACN) s’est fortement mobilisée tout au long du parcours législatif de ce texte et a proposé de nombreux commentaires et amendements à ce projet afin notamment qu’il intègre les acquis et les savoir-faire développés par les industries de la confiance numérique depuis plus de 20 ans et qu’il préserve une ambition forte de cybersécurité globale pour l’Europe.
L’Alliance pour la confiance numérique salue l’adoption par le Parlement européen de la proposition de règlement relatif à l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information) et à la certification des technologies TIC, dite « European Cybersecurity Act ». Ce texte, qui devra désormais être adopté par le Conseil européen, donne un mandat permanent à l’ENISA et crée un cadre européen de certification de cybersécurité. Le Cybersecurity Act devrait contribuer à réduire la fragmentation du marché européen grâce à la mise en place des futurs schémas européens de certification. Dorénavant, un fournisseur de produits, services et processus TIC ne sera plus obligé de passer par plusieurs schémas de certification nationaux.
« Les schémas européens de certification devraient renforcer la transparence du marché des produits TIC en donnant des indications sur le niveau d’assurance d’un produit. Depuis des années, nous œuvrons pour que les certifications de cybersécurité aient une portée européenne, sans que cela ne se traduise par un nivellement par le bas, et s’adaptent aux besoins des clients en équilibrant le niveau de protection recherché en fonction de l’analyse des risques avec la réalité économique du produit/service concerné. Cela permettra de créer de la confiance, d’augmenter la cybersécurité générale et de créer un marché européen atteignant ainsi la taille critique pour nos entreprises, et notamment les plus petites d’entre-elles », déclare Jean-Pierre Quémard, président de l’ACN.
Le Cybersecurity Act établit un système de certification multi-niveaux qui prend en compte, grâce à une analyse préalable des risques, la bonne adéquation entre les exigences de sécurité et le besoin de protection, ce qui correspond aux besoins du marché. Les produits, services et processus TIC peuvent être certifiés à un niveau d’assurance élémentaire, substantiel ou élevé. Le niveau élémentaire correspond aux produits les moins critiques et est assorti d’une simple procédure déclarative. A l’autre bout du spectre, les produits et services dont la résistance aux cyberattaques est cruciale, tels que des puces électroniques, peuvent être certifiés au niveau d’assurance élevé par le biais d’une procédure plus robuste. La version finale du Cybersecurity Act introduit une exigence de tests de pénétration pour le niveau d’assurance élevé.
« Les tests de sécurité sont indispensables pour garantir la résistance à des attaquants expérimentés et dotés de ressources conséquentes. En cybersécurité, la conformité à un cahier des charges ne garantit jamais l’infaillibilité des systèmes de protection : si l’on veut s’assurer d’un niveau réel de sécurité, il faut impérativement soumettre le produit à du hacking éthique et des tests de pénétration en vraie grandeur», explique Jean Pierre-Quémard.
Malgré la volonté de créer un cadre européen harmonisé, le risque de disparité entre Etats membres subsiste. Les processus d’accréditation et de supervision des organismes d’évaluation de la conformité continueront de relever de la compétence des autorités nationales de contrôle de certification. En outre, les autorités nationales seront en charge de délivrer certains certificats de cybersécurité. Des approches différentes pourraient donc donner lieu à des certificats qui n’auraient de facto pas la même valeur en termes d’assurance. Ces certificats seront pourtant reconnus dans tous les Etats membres. Une telle disparité conduirait à un manque de transparence et diminuerait la confiance que des utilisateurs pourraient avoir en ces certificats. L’ACN salue l’introduction d’un système de “peer review” entre autorités nationales dans la version finale du Cybersecurity Act. Ce système devrait limiter ce risque de disparité. L’ACN encourage les Etats membres à tout mettre en œuvre pour que ce système de “peer review” conduise effectivement à une approche harmonisée de la certification européenne.