Avec l’adoption du Cybersecurity Act il y a quelques mois, l’Europe franchissait un nouveau cap en matière de cybersécurité, en se dotant d’un cadre commun. Renforcement des pouvoirs de l’Agence européenne de la sécurité des réseaux et de l’information (ENISA), certification européenne… que peut-on attendre de ce règlement ?
Plus contraignant que les accords de reconnaissance existants (Certification Critères Communs (CCRA), accord SOG-IS ou la Certification « Restreint UE »), ce nouveau cadre vient renforcer le positionnement de l’Union européenne sur les questions de cybersécurité. Ses États membres pourront ainsi faire front commun face aux cyberattaques qu’ils subissent.
Poser les bases d’un futur commun pour la sécurité
En complément du poids donné à l’Agence européenne de la sécurité des réseaux et de l’information (ENISA), le Cybersecurity Act améliorera le niveau de sécurité global à travers l’Europe en fixant des règles de certification communes. Une entreprise ayant obtenu une certification en Italie pourra désormais faire valoir ce « label européen » en France, en Espagne ou encore en Allemagne sans entamer de démarches supplémentaires dans ces pays.
Ces certifications s’accompagnent d’un référentiel partagé de trois niveaux de sécurité : élémentaire, substantiel et élevé. Ces trois niveaux témoignent d’une dimension de confiance envers des solutions ou services informatiques, et notamment les objets connectés – qu’ils soient grand public ou plus techniques (comme des dispositifs médicaux connectés par exemple).
Faire la différence entre solutions informatiques et solutions de sécurité
En regard, les certifications nationales – type ANSSI en France – portent sur le niveau de confiance envers des solutions dédiées à la cybersécurité, comme des cartes à puce, des certificats numériques ou autres produits de cybersécurité. Entre solutions informatiques et solutions de cybersécurité, la nuance est primordiale. Puisque les certifications européennes sont pensées pour un périmètre plus large que la seule cybersécurité, leur niveau d’exigence est forcément moindre. De quoi susciter aujourd’hui quelques réserves.
En France, pays moteur en matière de sécurité numérique, la principale crainte tient au fait que le niveau le plus élevé des certifications européennes correspondrait au niveau le plus bas des certifications françaises. Un flou qui pourrait représenter un risque réel pour la cybersécurité, en favorisant des solutions moins fiables que d’autres. Pour s’en prémunir, chaque pays de l’Union européenne pourra conserver des niveaux nationaux souverains en parallèle de la certification européenne. En particulier, la France, par l’intermédiaire de l’ANSSI, maintient – au-delà des certifications – ses niveaux de qualification propres (élémentaire, standard, renforcée), requis pour opérer dans les infrastructures critiques nationales comme les OIV. En résumé, les solutions déjà qualifiées auprès de l’ANSSI – comme celles de Stormshield – correspondraient donc déjà à un niveau de certification supérieur ou égal à l’exigence européenne.
Si certains détails liés à l’implémentation du Cybersecurity Act restent à affiner, ce règlement est un bon signal pour la cybersécurité européenne. Au-delà de l’harmonisation à court terme, cette législation permettra de façonner un avenir numérique plus sécurisé.
