Cybersecurity Act : une étoile européenne dans le ciel de la cybersécurité

Les députés européens ont adopté le 12 mars dernier le règlement relatif à l’ENISA et à la certification des TIC en matière de cybersécurité, dénommé dans la langue de shakespeare « Cybersecurity Act ». L’adoption de ce règlement est une étape fondatrice dans l’édification d’un grand marché unique des acteurs de la confiance numérique. Focus sur ce texte annonciateur d’une Europe en course pour le leadership mondial de la cybersécurité, dans l’attente de son approbation par le Conseil européen prévu les 21 et 22 mars prochains.

Uniformisation européenne des schémas de certifications nationaux
Après le succès européen et la reconnaissance internationale du RGPD, l’Union vient de poser une nouvelle brique à l’édification du marché unique numérique. Le Cybersecurity Act  prévoit pour la première fois un dispositif européen uniformisé de certification en matière de cybersécurité pour les produits, les procédures et les services. Concrètement, un prestataire de cybersécurité ne sera plus obligé de passer par plusieurs schémas de certification nationaux pour pouvoir diffuser ses produits, services et processus TIC sur les marchés nationaux visés.

Rationalisation technique et économique des certifications
L’objectif affiché par le Règlement est double. Rationaliser d’abord les schémas de certifications de cybersécurité à l’échelle européenne en les éliminant à l’échelle des Etats membres, dès lors que leurs schémas de certifications étaient souvent contradictoires ou faisaient double emploi. Cela entrainera une réduction substantielle des coûts pesant sur les entreprises de cybersécurité tout en apportant une rationalisation technique des certifications et au final une politique commune de cybersécurité. L’uniformisation des certifications permettra de créer de la confiance, d’augmenter la cybersécurité générale sur le territoire de l’Union et de doter le marché européen de la taille critique pour les prestataires en cybersécurité.

Trois niveaux d’assurance par certificat
A terme, les schémas européens de certification devront renforcer la transparence du marché des produits et services TIC en donnant des indications sur leur niveau d’assurance. Le Règlement prévoit trois niveaux d’assurance pour chaque type de certificat de cybersécurité européen : « élémentaire », « substantiel » ou « élevé ». Cette distinction n’est pas sans rappeler la classification triptyque des certificats RGS de l’ANSSI (RGS*, **, ***).

Exhaustif, le Règlement pousse le degré de précision du schéma de certification jusqu’à définir le nombre de fonctions sécurisées pour tous les niveaux d'assurance : une configuration sécurisée prête à l'emploi, un code signé, une mise à jour sécurisée, ainsi que la limitation de l'exploitation de failles et des protections complètes ("full stack"). Il s’agirait en quelque sorte d’un socle commun de fonctions sécurisées imposées au produit ou service. Le Considérant 87 indique à l’endroit des acteurs concernés que le développement et la maintenance de leurs produits devront se fonder « sur des approches (…) mettant l'accent sur la sécurité et des outils associés ». Et d’inscrire un principe de « security by design » au cœur de leurs projets de développements permettant de « garantir que des mécanismes efficaces au niveau tant du logiciel que du matériel sont incorporés de manière fiable » (Considérant 87).

Rassurer les acteurs de la cybersécurité sur la phase transitoire des certifications …
Face à la crainte que pourrait susciter le coût économique et technique d’une reconversion des certifications nationales sur les produits et services de cybersécurité déjà existants, le Règlement entend rassurer les acteurs concernés. Pour établir un cadre européen de certification de cybersécurité, le Considérant 69 prévoit de « s'appuyer sur des schémas nationaux et internationaux existants, ainsi que sur des systèmes de reconnaissance mutuelle, en particulier le SOG-IS ». Sur ce dernier point, les professionnels s’accordent à souligner que l’accord de reconnaissance mutuelle du SOG-IS – un groupe réunissant des hauts responsables issus des agences nationales de sécurité des SI - est devenu depuis quelques années un outil adapté à la certification de produits stratégiques sur un niveau d’assurance élevé.

Cet accord permet depuis 2010 la reconnaissance entre les États signataires des certificats délivrés par leur autorité de certification. Cet accord de reconnaissance mutuelle devrait servir de base à l’élaboration d’un premier schéma européen de certification en cybersécurité.  Enfin, il ne semble faire aucun doute que les certifications RGS délivrées par l’ANSSI seront intégrées dans ces travaux d’élaboration. Guidé par la même volonté de sécurité juridique, le Considérant 69 impose de « créer les conditions d'une transition en douceur des schémas existants relevant de ces systèmes vers les schémas relevant du nouveau cadre européen de certification de cybersécurité ».

… malgré leurs craintes persistantes
Cependant, les professionnels du secteur, tels que l’ACN, conditionnent le succès du volet certification à la capacité de la Commission et de l’ENISA de créer des schémas susceptibles d’être adoptés par le plus grand nombre d’acteurs. Le pragmatisme économique impose, en effet, de rappeler que ces schémas de certification ne seront utilisés par les acteurs concernés que s’ils sont adaptés aux réalités du marché. Last but not least, le Règlement rappelle que la certification demeure une démarche volontaire des acteurs concernés (Considérant 91).

Montée en puissance de l’ENISA au détriment des souverainetés numériques nationales
Enfin, le Règlement prévoit un « big bang » en matière de gouvernance des régulateurs nationaux, en renforçant les compétences de l’ENISA. L’Agence de cybersécurité de l’UE va être dotée d'un mandat permanent pour remplacer son mandat limité venant à expiration en 2020, ainsi que de ressources supplémentaires pour lui permettre de remplir ses missions. Surtout, l’Agence devient le « point de référence pour les conseils et compétences en matière de cybersécurité pour les institutions, organes et organismes de l'Union ainsi que pour les autres parties prenantes concernées de l'Union » (art. 3).

L’ENISA se voit ainsi attribuer un rôle plus important en matière de coopération et de coordination au niveau de l’Union dans le nouveau cadre de certification de cybersécurité afin d’aider les États membres à réagir efficacement aux cyberattaques. Un groupe européen de certification de cybersécurité (GECC) est par ailleurs institué (art. 62). Equivalent fonctionnel du CEPD (ex-G29) en matière de vie privée/privacy, le GECC est composé des représentants des autorités nationales de certification de cybersécurité. Dans cette nouvelle cartographie de la régulation de la SSI qui se dessine, où placer l’ANSSI (500 agents contre une centaine à l’ENISA)? ?

Une brique de conformité supplémentaire
Le Cybersecurity Act apporte une brique de régulation supplémentaire qu’il va falloir articuler non seulement avec les réglements eIDAS, RGPD, mais aussi avec les directives NIS, DSP2 pour garantir aux acteurs concernés la conformité et a fortiori la sécurité juridique de leurs produits et services. Nul doute que les publications à venir de l’ENISA serviront utilement de grille de conformité pour leurs développements. Reste à savoir comment les Etats membres vont s’entendre sur ce premier schéma de certification pour voir briller l’étoile européenne sur la scène mondiale de la cybersécurité. Mais l’ombre de la perte de souveraineté toujours plus forte plane sur ce domaine stratégique lié à la sécurité et la défense nationale.


Eric A. CAPRIOLI, Avocat à la Cour de Paris, Docteur en droit, membre de la délégation française aux Nations Unies, Société d’avocats membre du réseau Jurisdéfi.

Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction de l'Usine Digitale
 

Sélectionné pour vous

Reconnaissance d'une convention sur la preuve signée électroniquement

Règlement DORA : implications contractuelles pour les entités financières et les prestataires informatiques

Cyberguerres : Comment les attaques étatiques ont profondément changé le paysage numérique