Cybersecurity Act : enfin une Europe de la cybersécurité ? I Stormshield

Avec l’adoption du Cybersecurity Act il y a quelques mois, l’Europe franchissait un nouveau cap en matière de cybersécurité, en se dotant d’un cadre commun. Renforcement des pouvoirs de l’Agence européenne de la sécurité des réseaux et de l’information (ENISA), certification européenne… que peut-on attendre de ce règlement ?

Plus contraignant que les accords de reconnaissance existants (Certification Critères Communs (CCRA), accord SOG-IS ou la Certification « Restreint UE »), ce nouveau cadre vient renforcer le positionnement de l’Union européenne sur les questions de cybersécurité. Ses États membres pourront ainsi faire front commun face aux cyberattaques qu’ils subissent.

Poser les bases d’un futur commun pour la sécurité

En complément du poids donné à l’Agence européenne de la sécurité des réseaux et de l’information (ENISA), le Cybersecurity Act améliorera le niveau de sécurité global à travers l’Europe en fixant des règles de certification communes. Une entreprise ayant obtenu une certification en Italie pourra désormais faire valoir ce « label européen » en France, en Espagne ou encore en Allemagne sans entamer de démarches supplémentaires dans ces pays.

Ces certifications s’accompagnent d’un référentiel partagé de trois niveaux de sécurité : élémentaire, substantiel et élevé. Ces trois niveaux témoignent d’une dimension de confiance envers des solutions ou services informatiques, et notamment les objets connectés – qu’ils soient grand public ou plus techniques (comme des dispositifs médicaux connectés par exemple).

Faire la différence entre solutions informatiques et solutions de sécurité

En regard, les certifications nationales – type ANSSI en France – portent sur le niveau de confiance envers des solutions dédiées à la cybersécurité, comme des cartes à puce, des certificats numériques ou autres produits de cybersécurité. Entre solutions informatiques et solutions de cybersécurité, la nuance est primordiale. Puisque les certifications européennes sont pensées pour un périmètre plus large que la seule cybersécurité, leur niveau d’exigence est forcément moindre. De quoi susciter aujourd’hui quelques réserves.

En France, pays moteur en matière de sécurité numérique, la principale crainte tient au fait que le niveau le plus élevé des certifications européennes correspondrait au niveau le plus bas des certifications françaises. Un flou qui pourrait représenter un risque réel pour la cybersécurité, en favorisant des solutions moins fiables que d’autres. Pour s’en prémunir, chaque pays de l’Union européenne pourra conserver des niveaux nationaux souverains en parallèle de la certification européenne. En particulier, la France, par l’intermédiaire de l’ANSSI, maintient – au-delà des certifications – ses niveaux de qualification propres (élémentaire, standard, renforcée), requis pour opérer dans les infrastructures critiques nationales comme les OIV. En résumé, les solutions déjà qualifiées auprès de l’ANSSI – comme celles de Stormshield – correspondraient donc déjà à un niveau de certification supérieur ou égal à l’exigence européenne.

Si certains détails liés à l’implémentation du Cybersecurity Act restent à affiner, ce règlement est un bon signal pour la cybersécurité européenne. Au-delà de l’harmonisation à court terme, cette législation permettra de façonner un avenir numérique plus sécurisé.

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Adoptée par les institutions européennes en juillet 2016, la directive NIS a pour objectif d’assurer un certain niveau de sécurité pour les réseaux et systèmes d’information des infrastructures critiques et sensibles des pays membres de l’Union européenne. Six ans plus tard, la révision de cette directive s’accélère, avec de premiers accords entre la Commission, le Parlement et le Conseil européen en mai et juin 2022. Pas encore adoptée, cette nouvelle directive NIS2 donne déjà lieu à de nombreuses questions quant à ses implications et son périmètre d’application. Explications.
On distingue plusieurs types de labellisations : Certification Critères Communs, Certification de Sécurité de Premier Niveau (CSPN), et Qualification, elle-même pouvant être Élémentaire, Standard, ou Renforcée. Dès lors, comment s’y retrouver ?
À propos de l'auteur
mm
Stéphane Prevost Product Marketing Manager, Stormshield

Après plus de 10 ans à forger son expérience en informatique et en R&D, Stéphane a rejoint Stormshield en 2008, en tant que Product Manager. Avec cette double compétence en cybersécurité et marketing produit, il contribue à la promotion des produits Stormshield depuis son poste de Product Marketing Manager. Sa curiosité, sa créativité et son expérience favorisent la vulgarisation et la création de messages percutants autour des produits de sécurité.