La certification joue un rôle crucial dans le renforcement de la confiance et de la sécurité dans les produits et services importants pour le monde numérique. À l’heure actuelle, plusieurs systèmes de certification de sécurité pour les produits TIC existent dans l’UE. Toutefois, en l’absence d’un cadre commun pour les certificats de cybersécurité valables à l’échelle de l’UE, il existe un risque croissant de fragmentation et d’obstacles entre les États membres.
Le cadre de certification fournira des systèmes de certification à l’échelle de l’UE en tant qu’ensemble complet de règles, d’exigences techniques, de normes et de procédures. Le cadre sera fondé sur un accord au niveau de l’UE sur l’évaluation des propriétés de sécurité d’un produit ou d’un service spécifique fondé sur les TIC. Il attestera que les produits et services TIC qui ont été certifiés conformément à un tel système sont conformes aux exigences spécifiées.
En particulier, chaque système européen devrait préciser:
- les catégories de produits et services couverts;
- les exigences en matière de cybersécurité, telles que les normes ou les spécifications techniques;
- le type d’évaluation, tel que l’autoévaluation ou un tiers;
- le niveau d’assurance prévu.
Les niveaux d’assurance sont utilisés pour informer les utilisateurs du risque de cybersécurité d’un produit et peuvent être de base, substantiels et/ou élevés. Ils sont proportionnels au niveau de risque associé à l’utilisation prévue du produit, du service ou du procédé, en termes de probabilité et d’impact d’un accident. Un niveau d’assurance élevé signifierait que le produit certifié a réussi les tests de sécurité les plus élevés.
Le certificat qui en résultera sera reconnu dans tous les États membres de l’UE, ce qui facilitera le commerce transfrontalier des entreprises et la compréhension des caractéristiques de sécurité du produit ou du service par les acheteurs.
Système de certification de cybersécurité fondé sur des critères communs
Le premier système à être adopté en vertu du cadre de certification de la loi sur la cybersécurité repose sur les critères communs de référence internationale, utilisés pour délivrer des certificats en Europe depuis près de 30 ans. Le système tire parti de la réputation élevée des fournisseurs et des certificateurs européens utilisant la certification fondée sur des critères communs dans le monde entier.
Le régime s’appliquera sur une base volontaire à l’échelle de l’UE et se concentrera sur la certification de la cybersécurité des produits TIC au cours de leur cycle de vie: systèmes biométriques, pare-feu (matériel et logiciels), plateformes de détection et de réponse, routeurs, commutateurs, logiciels spécialisés (tels que les systèmes SIEM et IDS/IDP), diodes de données, systèmes d’exploitation (y compris pour les appareils mobiles), stockages cryptés, bases de données ainsi que cartes à puce et éléments sécurisés inclus dans toutes sortes de produits, tels que les passeports utilisés quotidiennement par tous les citoyens.
Programme de travail glissant de l’Union pour la certification européenne de cybersécurité (URWP)
La législation de l’UE sur la cybersécurité prévoit la publication par la Commission d’un programme de travail glissant de l’Union pour la certification européenne de cybersécurité, un document présentant une vision stratégique et des réflexions sur les domaines possibles pour les futurs systèmes européens de certification de cybersécurité compte tenu de l’évolution récente de la législation et du marché.
Compte tenu de la législation sur la cyberrésilience ( CRA) et d’autres développements législatifs, tels que le règlement européen sur l’identité numérique, le premier groupe de travail sur l’identité numérique indique des domaines pour les futurs systèmes européens de certification de cybersécurité liés aux évolutions législatives ainsi que des domaines de réflexion futurs concernant la certification de cybersécurité, qui pourraient éventuellement conduire à des demandes de nouveaux systèmes, le cas échéant. En outre, il décrit les priorités stratégiques à prendre en considération lors de l’élaboration d’un système européen de certification de cybersécurité.
L’URWP souligne qu’il s’agit de domaines pour la future certification européenne en matière de cybersécurité liés à la législation de l’UE, en particulier les portefeuilles d’identification et les services de sécurité gérés. D’autres domaines pourraient inclure les systèmes d’automatisation et de contrôle industriels et le développement du cycle de vie de la sécurité en s’appuyant sur les exigences de l’ARC ainsi que sur les mécanismes cryptographiques.
Groupe européen de certification de cybersécurité
Le groupe européen de certification de cybersécurité (ECCG) a été créé pour contribuer à assurer la mise en œuvre et l’application cohérentes de la loi sur la cybersécurité. Il est composé de représentants des autorités nationales de certification de cybersécurité ou de représentants d’autres autorités nationales compétentes. L’ECCG joue un rôle déterminant dans la préparation du système de certificats candidats et la mise en œuvre générale du cadre de certification.
Groupe de certification de cybersécurité des parties prenantes
À la suite de l’entrée en vigueur de la loi sur la cybersécurité en 2019, le Stakeholder Cybersecurity Certification Group (SCCG) a été créé.
Le GCSC est chargé de conseiller la Commission et l’ENISA sur les questions stratégiques relatives à la certification de cybersécurité et d’aider la Commission à préparer le programme de travail glissant de l’Union. Il s’agit du premier groupe d’experts des parties prenantes pour la certification de cybersécurité lancé par la Commission européenne.
Dernières nouvelles
Contenu associé
Vue d’ensemble
L’Union européenne travaille sur différents fronts pour promouvoir la cyberrésilience, protéger nos communications et nos données et préserver la sécurité de la société et de l’économie en ligne.
Aller plus loin
Le groupe européen de certification de cybersécurité a été créé pour contribuer à la mise en œuvre et à l’application cohérentes de la loi sur la cybersécurité.
À lire également
La législation de l’UE sur la cybersolidarité améliorera la préparation, la détection et la réaction aux incidents de cybersécurité dans l’ensemble de l’UE.
Les nouvelles règles de l’UE en matière de cybersécurité garantissent la sécurité du matériel et des logiciels.
Les opérateurs de services essentiels (OES), les autorités nationales de certification de cybersécurité (ANC) et les autorités nationales compétentes (ANC) en matière de cybersécurité figurent parmi les candidats sélectionnés qui recevront un financement de 11 millions d’euros...
Le réseau européen de cybersécurité et le Centre de compétences en cybersécurité aident l’UE à conserver et à développer les capacités technologiques et industrielles en matière de cybersécurité.
Le Stakeholder Cybersecurity Certification Group a été créé pour fournir des conseils sur les questions stratégiques relatives à la certification de cybersécurité.
La loi sur la cybersécurité renforce l’Agence de l’UE pour la cybersécurité (ENISA) et établit un cadre de certification de cybersécurité pour les produits et services.
La directive SRI2 est la législation européenne en matière de cybersécurité. Il prévoit des mesures juridiques visant à renforcer le niveau global de cybersécurité dans l’UE.