Skip to main content
European Commission logo
Bâtir l’avenir numérique de l’Europe

Le cadre de certification de cybersécurité de l’UE

Le cadre de certification de cybersécurité de l’UE pour les produits des technologies de l’information et de la communication (TIC) permet des systèmes de certification de l’UE adaptés et fondés sur les risques.

La certification joue un rôle crucial dans le renforcement de la confiance et de la sécurité dans les produits et services critiques pour le monde numérique. À l'heure actuelle, il existe un certain nombre de systèmes de certification de sécurité différents pour les produits TIC dans l'UE. Toutefois, en l’absence d’un cadre commun pour des certificats de cybersécurité valables à l’échelle de l’UE, il existe un risque croissant de fragmentation et d’obstacles entre les États membres.

Le cadre de certification

Le cadre de certification fournira des systèmes de certification à l’échelle de l’UE sous la forme d’un ensemble complet de règles, d’exigences techniques, de normes et de procédures. Le cadre sera fondé sur un accord au niveau de l’UE sur l’évaluation des propriétés de sécurité d’un produit ou service spécifique fondé sur les TIC. Il attestera que les produits et services TIC qui ont été certifiés conformément à un tel système sont conformes aux exigences spécifiées.

En particulier, chaque système européen devrait préciser:

  • les catégories de produits et services couverts;
  • les exigences en matière de cybersécurité, telles que les normes ou les spécifications techniques;
  • le type d’évaluation, telle que l’autoévaluation ou l’évaluation par un tiers;
  • Le niveau d'assurance prévu.

Les niveaux d'assurance sont utilisés pour informer les utilisateurs du risque de cybersécurité d'un produit et peuvent être basiques, substantiels et / ou élevés. Ils sont proportionnels au niveau de risque associé à l'utilisation prévue du produit, du service ou du procédé, en termes de probabilité et d'impact d'un accident. Un niveau d'assurance élevé signifierait que le produit certifié a passé les tests de sécurité les plus élevés.

Le certificat qui en résulte

Le certificat qui en résultera sera reconnu dans tous les États membres de l’UE, ce qui permettra aux entreprises de commercer plus facilement au-delà des frontières et aux acheteurs de comprendre les caractéristiques de sécurité du produit ou du service.

Pour en savoir plus sur les travaux réalisés en matière de certification de cybersécurité de l’UE, veuillez consulter la certification de cybersécurité de l’ENISA.

Le système de certification de cybersécurité de l’UE sur les critères communs (EUCC)

Le premier système adopté en vertu du cadre de certification de la loi sur la cybersécurité repose sur la norme internationale renommée Common Criteria, utilisée pour délivrer des certificats en Europe depuis près de 30 ans. Le système tire parti de la grande réputation des fournisseurs et des certificateurs européens qui utilisent la certification basée sur des critères communs dans le monde entier. Le régime sera mis à la disposition des vendeurs à partir du 27 février 2025.

Le système s’appliquera à l’échelle de l’UE, sur une base volontaire, et se concentrera sur la certification de la cybersécurité des produits TIC tout au long de leur cycle de vie, notamment:

  • Systèmes biométriques
  • Pare-feu (matériel et logiciel)
  • Plateformes de détection et de réponse
  • Routeurs
  • Interrupteurs
  • Logiciels spécialisés (tels que les systèmes SIEM et IDS/IDP)
  • Diodes de données
  • Systèmes d'exploitation (y compris pour les appareils mobiles)
  • Stockages cryptés
  • Bases de données
  • Cartes à puce et éléments sécurisés inclus dans toutes sortes de produits, tels que les passeports utilisés quotidiennement par tous les citoyens. 

Pour en savoir plus sur l’EUCC, veuillez consulter le site web de l’ENISA consacré à la certification.

Programme de travail glissant de l’Union pour la certification européenne de cybersécurité (URWP)

Le programme de travail glissant de l’Union sur la certification européenne de cybersécurité a été publié en même temps que le premier système de certification de cybersécurité à l’échelle de l’UE (EUCC). Le premier PRU définit les priorités stratégiques pour les futurs systèmes européens de certification de cybersécurité, en tenant compte des évolutions récentes de la législation et du marché, telles que la législation sur la cyberrésilience (CRA) et le règlement européen sur l’identité numérique. Cela pourrait éventuellement conduire à des demandes de nouveaux régimes lorsque cela est nécessaire et approprié. En outre, il décrit les priorités stratégiques à prendre en considération lors de l’élaboration de tout schéma européen de certification de cybersécurité. 

L’URWP met l’accent sur les domaines suivants pour la future certification européenne de cybersécurité liée à la législation de l’UE:

  • Portefeuilles d'identité
  • Services de sécurité gérés
  • Systèmes d'automatisation et de contrôle industriels
  • Développement du cycle de vie de la sécurité en s'appuyant sur les exigences de l'ARC
  • Mécanismes cryptographiques

Groupe européen de certification de cybersécurité (ECCG)

Le groupe européen de certification de cybersécurité (ECCG) a été créé pour contribuer à assurer la mise en œuvre et l’application cohérentes du règlement sur la cybersécurité. Il est composé de représentants des autorités nationales de certification de cybersécurité ou de représentants d’autres autorités nationales compétentes. Le GCEC joue un rôle déterminant dans la préparation du système de certification des candidats et dans la mise en œuvre générale du cadre de certification.

Groupe de certification des parties prenantes en matière de cybersécurité (SCCG)

À la suite de l’entrée en vigueur du règlement sur la cybersécurité en 2019, le groupe de certification des parties prenantes en matière de cybersécurité (SCCG) a été créé. 

Le GCSC est chargé de conseiller la Commission et l’ENISA sur les questions stratégiques relatives à la certification de cybersécurité et d’assister la Commission dans la préparation du programme de travail glissant de l’Union. Il s'agit du premier groupe d'experts des parties prenantes pour la certification de cybersécurité lancé par la Commission européenne.

Suivre les travaux du groupe

Dernières nouvelles

Executive Vice-Presidents Virkkunen and Mînzatu reward actions to strengthen Europeans' digital skills at European Digital Skills Awards
  • Communiqué de presse
  • 12 novembre 2025
Les vice-présidents exécutifs Virkkunen et Mînzatu récompensent les actions visant à renforcer les compétences numériques des Européens lors des prix européens des compétences numériques

Le 12 novembre, Henna Virkkunen, vice-présidente exécutive chargée de la souveraineté technologique, de la sécurité et de la démocratie, et Roxana Mînzatu, vice-présidente exécutive chargée des droits sociaux et des compétences, des emplois de qualité et de la préparation, assistent aux prix des compétences numériques, célébrant les approches innovantes visant à renforcer les compétences numériques dans l’UE.

BlueOLEx promotional visual, text "BlueOLEx, Assessing EU Crisis Management Skills, Cyprus, 4 November 2025" against white background.
  • Communiqué de presse
  • 04 novembre 2025
Les États membres et la Commission testent la réaction collective aux crises de cybersécurité

Le 4 novembre 2025, de hauts responsables de la cybersécurité des États membres de l’UE et de la Commission ont participé à l’édition 2025 de l’«exercice de niveau opérationnel du plan d’action» (BlueOLEx), qui marque le premier exercice depuis l’adoption du nouveau plan d’action de l’UE en matière de cybersécurité qui clarifie les rôles et les responsabilités en cas de crise.

Parcourir Cybersécurité

Contenu associé

Vue d’ensemble

Politiques de cybersécurité de l’UE

L’Union européenne œuvre sur différents fronts pour promouvoir la cyberrésilience, préserver nos communications et nos données et assurer la sécurité de la société et de l’économie en ligne.

Aller plus loin

Last update

9 juillet 2025

Imprimer en PDF