Depuis le 10 décembre dernier, le CyberSecurity Act vient renforcer le mandat de l’ENISA qui devient ainsi officiellement l’agence européenne pour la cyber sécurité, chargée de la définition et de la mise en place d’un cadre de certification européen pour tous les produits et services répondant aux standards de sécurité applicable.
L’ENISA [1] sera donc chargée de la préparation des nouveaux schémas de certifications en étroite collaboration avec les agences nationales de sécurité telles que l’ANSSI en France et le BSI[2] allemand. « Si l’Europe a un rôle majeur à jouer dans la cyber sécurité, elle doit le faire dans une approche transverse, multi niveaux et sans frontières. » affirme ainsi Jean François Jünger, Head of Cybersecurity Technology and Capacity Building de la DG Connect.
Intégrer les risques Cloud et IoT au CyberSecurity Act
La question soulevée étant de savoir comment seront intégrées et valorisées les dizaines d’années de travaux de certifications des agences européennes (y compris ANSSI et BSI) au sein de ce nouveau Framework, qui rappelons le, vise à harmoniser les schémas de certifications de sécurité actuels, tout en prenant compte des nouveaux risques sécuritaires liés au Cloud Computing et à l’IoT.
Cette stratégie de cyber sécurité européenne comprendra également, dans le cadre du Marché Numérique Européen –DSM- le développement de nouveaux outils collectifs dont un centre européen de recherche et de compétences –ECCC- pour partager les meilleurs pratiques cyber au niveau des états membres, au renfort d'un budget de 2 milliards d’euro sur 7 ans.
Il est à noter que certaines de ces initiatives ont déjà été mises en place dans plusieurs pays telles que la création du Cybersecurity Competence Center C3 [3] et de la plateforme de partage et de traitement des risques cyber MISP au Luxembourg. On peut donc aussi se demander comment les différents centres de compétences et pôles d’excellence existants vont répondre à cette volonté d’harmonisation dans la lutte cyber.
Selon François Thill, conseiller cyber sécurité au ministère luxembourgeois de l’économie et représentant de l’ENISA, les standards actuels de cyber sécurité cadrés autour de l’ISO/IEC 27001 se concentrent sur des niveaux très élevés de protection et sont discriminatoires envers les petites et moyennes entreprises, créatrices d’innovation, mais qui ne peuvent engager des démarches de certification aussi longues et coûteuses.
A l’inverse, si la création d’un cadre de certification uniformisé est nécessaire au DSM, reste encore à définir les niveaux de standards à certifier (haut, moyen et bas) ce qui permettrait de n’exclure aucune typologie d’entreprise du champ de certification.
C’est une approche qui peut être discutée et qui permettrait au moins de renforcer la qualification en matière de sécurité et la visibilité de tous les acteurs de Cloud Computing et d’IoT actuels (IaaS, SaaS, PaaS), dans un contexte de résilience collective.
1 ENISA Agence Européenne chargée de la sécurité des réseaux et systèmes d’informations
2 BSI Office fédéral de la sécurité des systèmes d’informations
3 C3 Cyber Security Competence Center