Cybersecurity Act - Qu'est-ce qui va changer ?

Après avoir été approuvé par le parlement européen le 12 mars 2019, le Cybersecurity Act est définitivement adopté suite à sa parution au Journal Officiel de l’Union Européenne le 7 juin 2019. Le Cybersecurity Act renforce l’Agence européenne pour la cybersécurité (ENISA) et établit un cadre européen de certifications des produits et services de cybersécurité.

Un mandat permanent et des ressources supplémentaires pour l’ENISA

Avec le Cybersecurity Act, l’ENISA, l’agence de l’Union Européenne pour la cybersécurité, créée en 2004, se voit dotée d’un mandat permanent alors que son mandat précédent était limité dans le temps et aurait expiré en 2020. Des ressources supplémentaires vont également lui être allouées afin de mener à bien l’ensemble de ses missions dont la finalité est de parvenir à un niveau commun élevé de cybersécurité dans l’ensemble de l’Union. L’ENISA sert ainsi de « point de référence pour les conseils et compétences en matière de cybersécurité pour les institutions, organes et organismes de l’Union ainsi que pour les autres parties prenantes concernées de l’Union. » [01]

Dans son communiqué de presse relatif à l’adoption définitive du Cybersecurity Act [02], l’ANSSI se félicite de cette avancée pour l’autonomie stratégique européenne et relève les domaines dans lesquels les missions de l’ENISA sont renforcées : développement et soutien à la mise en œuvre des politiques européennes, expertise, appui au renforcement capacitaire des Etats, soutien à la coopération opérationnelle entre les Etats membres et sensibilisation.

Cette évolution de l’ENISA témoigne d’une réelle prise de conscience de la part des instances européennes vis-à-vis des enjeux de cybersécurité dont l’impact financier est de plus en plus important puisqu’entre 2017 et 2018, d’après une étude d’Accenture Security et du Ponemon Institute [03], le coût moyen d’une cyberattaque a respectivement progressé de 18% et 23% en Allemagne et en France pour s’établir à respectivement 11,6 millions et 8,6 millions d’euros dans ces deux pays.

Avec le Cybersecurity Act, l’ENISA, ayant vocation à apporter son expertise et à favoriser la coopération entre états membres, se place donc comme un facilitateur de la coopération intereuropéenne en matière de cybersécurité.

Un cadre européen de certification des produits et services de cybersécurité

L’autre grand volet du Cybersecurity Act est celui de l’uniformisation des process de certification des produits et services de cybersécurité ainsi que leurs reconnaissances dans l’ensemble des pays de l’Union. Jusqu’ici, chaque pays, par l’intermédiaire de son organisme de référence en matière de cybersécurité (l’ANSSIL’agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est une organisation gouvernementale française.... More en France ou la BSI en Allemagne) délivrait des certifications qui, pour un certain nombre d’entre elles (dont les certifications CSPN délivrées par l’ANSSI), n’étaient reconnues que dans le pays où le produit/service avait reçu la certification ; aujourd’hui, seules les certifications Critères Communs étaient reconnues à l’international, et seulement par les pays signataires du CCRA (Common Criteria Recognition Arrangement). Demain, obtenir une certification de l’ANSSI ou de la BSI selon le process mis en place par le Cybersecurity Act permettra aux produits ou services certifiés de l’être dans l’ensemble des pays de l’Union Européenne.

Ce cadre est donc bénéfique pour les utilisateurs de solutions de cybersécurité (entreprises ou organismes publics) puisqu’il apportera un surcroît de choix de produits certifiés et donc de confiance. Et pour les éditeurs de produits de cybersécurité, un produit certifié dans son pays, selon les modalités du Cybersecurity Act, sera également agrémenté dans l’ensemble des pays de l’Union et n’aura ainsi pas à être certifié dans chacun des pays où l’éditeur juge la certification du produit nécessaire.

Il s’agit là de quelque chose de très concret pour Systancia puisque IPdiva Secure, maintenant Systancia Gate a reçu la certification CSPN de l’ANSSI puis a été qualifié par l’ANSSI [04], devenant ainsi la seule solution recommandée par l’Agence nationale de la sécurité des systèmes d’information pour l’identification, l’authentificationL'authentification permet à un utilisateur de garantir son identité avant d’accéder à une ressource ou un service... More et le contrôle d’accès au système d’information. Cette certification a un impact fort sur le marché national puisque la solution est alors reconnue de confiance et recommandée par l’état français. Cependant, à l’étranger, force est de constater qu’une certification nationale n’a que peu d’impact, les produits certifiés par l’organisme du pays où se trouve l’entreprise ou l’organisation cliente sont logiquement privilégiés.

Avec le Cybersecurity Act, tout cela va donc changer puisqu’un produit certifié dans un pays, selon les modalités du Cybersecurity Act, sera tout autant reconnu dans le pays dans lequel la certification a été émise que dans les autres pays de l’Union. Cela soulève l’enjeu de la nécessité d’un cadre européen pour l’homogénéisation des exigences de certification afin d’éviter qu’un acteur européen ou extra-européen ne soit certifié dans un pays où les règles sont plus laxistes, lui permettant ainsi d’inonder le marché de l’Union. Cela a été pris en compte par la Commission qui a accepté d’avoir une approche harmonisée de la certification entre les différentes autorités nationales de contrôle. Il a donc été introduit un système de peer review (revues entre pairs) entre les autorités nationales de certification européennes qui concerne notamment les procédures de délivrance des certificats de cybersécurité.

Découvrir Systancia Gate