Produits
Solutions
- Par technologies
  - IAM
  - PAM
  - VDI
  - ZTNA
- Par cas d’usages
  - Télétravail
    
    Afin de s’adapter aux nouveaux usages en matière de mobilité, de télétravail ou d’infogérance, les entreprises et organisations doivent permettre aux collaborateurs d’accéder depuis l’extérieur au SI via une expérience transparente pour l’utilisateur en matière d’ergonomie et de performance, tout en garantissant la sécurité des accès depuis un poste ou un réseau non maîtrisés....
    Lire le cas d'usage
  - Accès de tiers (prestataire, écosystème)
    
    Pour s’assurer de l’adhésion des utilisateurs et de la DSI, toute solution IT doit garantir une expérience d’accès et d’utilisation optimale tout en élevant la sécurité du SI sans que cela soit vécu comme une contrainte par l’utilisateur....
    Lire le cas d'usage
  - Surveillance des accès (traçabilité et audit des accès)
    
    La sécurité des systèmes d’informations (SSI) repose principalement sur celle de son maillon le plus faible qui est également l’élément essentiel : l’humain....
    Lire le cas d'usage
  - Conformité réglementaire
    
    La conformité aux multiples réglementations est parfois perçue comme une contrainte mais elle est pourtant nécessaire pour garantir une sécurité efficace du SI....
    Lire le cas d'usage
  - Agilité de la gestion des accès
    
    Les mouvements de collaborateurs, qu’il s’agisse de turnover, rotation interne ou d’infogérance ou encore les opérations de fusion acquisition nécessitent que la DSI puisse bénéficier d’une réelle agilité dans un souci de fluidification de ces mouvements et d’élévation du niveau de sécurité du SI....
    Lire le cas d'usage
  - Remplacement d’une solution en place
    
    Que ce soit pour garantir la sécurité du SI, optimiser l’expérience de travail ou simplifier la gestion des applications, les entreprises et organisations peuvent être amenées à moderniser et remplacer leurs solutions IT devenues obsolètes et qui ne proposent plus les innovations pour répondre aux enjeux de l’inclusion digitale....
    Lire le cas d'usage
  - Virtualisation de bureau ou d’application
    
    La solution de virtualisation d’applications et des postes de travail aux fonctionnalité avancées adaptée à toutes les organisations, et permettant de tirer le meilleur parti des infrastructures hyperconvergées....
    Lire le cas d'usage
  - « SaaSification » d’applications
    
    La virtualisation d’applications permet aux organisations de rendre disponibles toutes leurs applications métiers en mode SaaS....
    Lire le cas d'usage
  - Le cloud comme un levier
    
    Rendre l’accès aux applications indépendantes des systèmes d’exploitation et devices utilisés par les collaborateurs d’une organisation....
    Lire le cas d'usage
  - Risque digital et protection des données
    
    La multiplication des données au sein des entreprises et organisations, ainsi que leur caractère parfois sensible rend leur protection indispensable contre tout risque de fuite potentiellement dévastateur comme nous le rappellent quotidiennement les unes de la presse....
    Lire le cas d'usage
Partenaires
Ressources
- Événements
- Témoignages clients
- Blog
- Customer Success
  Nous vous proposons des formations adaptées à votre profil, soit en self-service en ligne, que vous pouvez suivre à votre rythme, soit dispensées par un consultant Systancia
  Découvrez nos formations
Systancia

SystanciaBlogCybersécuritéEuropean Cybersecurity Act : Quel processus de certification ?

European Cybersecurity Act : Quel processus de certification ?

En 2017, la Commission Européenne a publié un ensemble d’initiatives destinées à renforcer la résilience, la dissuasion et la défense de l’UE face aux cyberattaques. Parmi ces mesures, la proposition de règlement relatif à l’ENISA et à la certification des technologies de l’information et des communications en matière de cybersécurité (European Cybersecurity Act). Ce règlement donne à l’ENISA un mandat permanent et renforce ses compétences en matière de prévention, conseil et coopération. L’European Cybersecurity Act comporte également un deuxième volet qui vise à créer un cadre européen de certification de cybersécurité, au cœur duquel l’ENISA joue un rôle clé. L’article [01] évoquait les changements qu’apportera le Cybersecurity Act pour les organisations et institutions. Mais, pour aller plus loin, il est important de comprendre quels sont les tenants et les aboutissants en matières de processus de certification, d’acteurs en jeu, et de définition des différents niveaux d’assurance.

En résumé, le Cybersecurity Act comprend les points suivants :

L’ENISA est en charge d’élaborer des schémas européens de certification de cybersécurité, sur proposition de la Commission ;
Trois niveaux d’assurance assortis d’exigences différentes sont définis : élémentaire, substantiel, élevé ;
Le niveau d’assurance basique peut être atteint sous forme d’une auto-évaluation de conformité ;
Les autorités nationales de contrôle de certification conservent un triple rôle :
- Accréditation des organismes d’évaluation de la conformité ;
- Contrôle de la conformité des certificats ou déclaration de conformité émis avec les exigences du schéma et du règlement ;
- Délivrance de certificats pour le niveau d’assurance élevé, voire, dans certains cas, de moindres niveaux ;
La procédure de certification est une action volontaire mais la Commission établira, au plus tard en 2023, une liste des produits, services et processus couverts par un schéma de certification existant qui devraient être couverts par un schéma obligatoire.

Les idées directrices qui sous-tendent ce règlement sont de définir un système de certification multiniveaux adapté aux besoins du marché tout en conservant les acquis en termes de certification. Les autorités nationales de contrôle de certification conservent un rôle essentiel car ce sont elles qui disposent de l’expertise en matière de certification de cybersécurité.

Le titre III du Cybersecurity Act est consacré à la définition d’un cadre européen de certification de cybersécurité avec l’objectif d’améliorer le fonctionnement du marché intérieur en élevant le niveau de cybersécurité au sein de l’UE et en offrant une approche harmonisée des schémas de certification. Il définit un mécanisme pour établir des schémas européens de certification et pour attester que les produits, services et processus TIC qui ont été certifiés conformément à ces schémas satisfont à des exigences de sécurité spécifiées. Le Cybersecurity Act détaille les objectifs de sécurité des schémas européens de certification de Cybersécurité. En effet, l’harmonisation des certifications au niveau européen était un point majeur de cette initiative, c’est la raison pour laquelle la Commission en a reconnu l’importance et accepté d’avoir une approche harmonisée de la certification entre les différentes autorités nationales de contrôle. Il a donc été introduit un système de peer review (revues entre pairs) entre les autorités nationales de certification européennes qui concerne notamment les procédures de délivrance des certificats de cybersécurité.

Un schéma de certification peut préciser un niveau d’assurance élémentaire, substantiel ou élevé. Le niveau d’assurance est proportionnel au niveau de risque, en termes de probabilité et d’impact d’un incident. Ce niveau dépend aussi de l’usage prévu. Chaque niveau d’assurance est assorti d’exigences de sécurité, notamment relatives aux fonctions de sécurité et au degré d’effort nécessaire pour l’évaluation.

Les niveaux d’assurance élémentaire, substantiel et élevé satisfont respectivement aux critères suivants :

Élémentaire : au moins un examen de la documentation technique ;
Substantiel : l’examen de la non applicabilité de vulnérabilités connues et la vérification que les produits, services ou processus mettent correctement en œuvre les fonctions de sécurité ;
Elevé : les vérifications du niveau Substantiel plus l’évaluation de la résistance à des attaquants expérimentés via des tests d’intrusion (penetration testing).

En ce qui concerne le niveau élémentaire et pour les produits et services à faible risque, l’évaluation peut être une auto-évaluation de la conformité.

Pour le niveau d’assurance élevé, le certificat ne peut être émis que par une autorité nationale de contrôle de la certification (ou un organisme dûment délégué).

Il est explicitement stipulé dans le règlement que la certification est volontaire, sauf si la législation européenne ou nationale en dispose autrement. Au plus tard le 31 décembre 2023 la Commission devra évaluer si un schéma en particulier devrait être rendu obligatoire afin de garantir un niveau adéquat de cybersécurité et pour quels types de produits et services.

Références

[01] Cybersecurity Act : Qu’est-ce que cela va changer ?

Cybersecurity Act : Qu’est-ce que cela va changer ?

Publié le 25 septembre 2019 par Systancia

Thématiques

Conformité réglementaire Cybersécurité CEO CIO CISO CTO

European Cybersecurity Act : Quel processus de certification ?

Références

Ne manquez pas ces évènements :

Offrez la meilleure expérience à vos utilisateurs à privilèges

Faites progresser votre PAM avec vos usages

Décryptage et enseignements des attaques les plus courantes

Ces articles pourraient vous intéresser :

Télétravail : comment accéder à son SI d’entreprise de façon sécurisée de chez soi ?

Le rançongiciel, une cybermenace à la courbe exponentielle

Les enjeux RH du télétravail