Plus de centralisation, un peu moins de règles de procédure et un renforcement de la protection numérique. Dans une version de travail provisoire de la révision du règlement sur la cybersécurité (Cybersecurity Act, CSA), obtenue par Agence Europe, la Commission européenne veut donner plus de marge de manœuvre à l'Agence européenne de cybersécurité (ENISA) et relancer les travaux du schéma de certification de cybersécurité, au point mort depuis plusieurs années (EUROPE 13451/10).
Rien, cependant, sur les fournisseurs à haut risque (EUROPE 13786/14). La question n'est pas encore tranchée au sein du Collège des commissaires et ne devrait figurer que dans la version finale du texte, prévue pour mardi 20 janvier.
Rôle accru de l'ENISA. Le texte provisoire ouvre donc la porte à une responsabilité accrue de l'ENISA, qui pourrait se voir confier un rôle encore plus central dans toute la chaîne de gestion des risques, d'harmonisation et de coopération européenne.
Le Cybersecurity Act actuel donne déjà à l'Agence les prérogatives sur l'élaboration et la structuration technique des schémas de certifications en cybersécurité. Elle travaille également sur d’autres schémas, comme ceux pour les services 'en nuage' (cloud) (EUCS) (EUROPE 13465/14), les services de sécurité gérés (MSS) ou la 5G.
Le nouveau texte provisoire renforce un certain nombre de ces prérogatives. L'ENISA est toujours chargée de l'élaboration des schémas de cybercertification, qui deviennent d'autant plus centraux dans la politique de cybersécurité européenne, mais avec un cran supplémentaire d'implication.
Le texte mentionne également sa contribution au renforcement des capacités en matière de certification, notamment en soutenant les États membres dans les activités d’évaluation et de révision.
D'autres obligations pourraient désormais lui incomber : - diriger, le cas échéant, les activités d'élaboration de normes au niveau européen ; - épauler la Commission dans la mise sur pied d'une Assemblée européenne de certification en matière de cybersécurité ; - développer et rendre public un cadre européen et un système d'attestation des compétences en matière de cybersécurité, utilisables dans les institutions nationales ou privées.
Renforcement des exigences européennes en cybersécurité. Point central du nouveau texte, la question du Cadre européen de certification en matière de cybersécurité, qui fait l'objet d'une réorganisation et d'une importance accrue. Les différents schémas qui le composeront devront indiquer que « les produits, services et processus TIC concernés sont conformes aux exigences de sécurité spécifiées dans le but de protéger la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou traitées, ou les fonctions ou services offerts ».
Dans le détail, ces schémas devraient « assurer une protection contre le stockage, le traitement, l'accès ou les fuites accidentels ou non autorisés », contre « toute manipulation ou modification non autorisée », et assurer que les produits, services et processus TIC « ne contiennent pas de vulnérabilités exploitables connues ».
Ce cadre européen devrait être établi « dans le but de créer un marché unique numérique pour les produits, services et processus TIC, les services de sécurité gérés et les entités », détaille le texte. Chaque schéma sera soumis aux mêmes règles de maintenance, de mise à jour et d'évaluation périodique. L'ENISA peut également développer des spécifications techniques pour un schéma précis.
Trois niveaux de sécurisation des schémas pourront être mis en place : 'basique', 'substantiel' et 'haut', selon le taux d'importance des services associés. Les schémas de certification nationaux, qui ne sont pas couverts par l'objet et le champ d'application d'un système européen de certification en matière de cybersécurité « devront être supprimés », rappelle le texte (EUROPE 13434/9).
Ce retour en force du Schéma européen de cybercertification préfigure une reprise du débat autour de l'ambition des schémas et des exigences spécifiques, telles que la localisation des données ou la souveraineté européenne. Le chapitre manquant doit aborder le cas des fournisseurs jugés à haut risque, et donc potentiellement bannis.
Dans le domaine du 'cloud', par exemple, la France plaide de longue date pour des garanties de sécurité et de souveraineté plus strictes, équivalentes à son propre système 'SecNumCloud', notamment en termes de protection contre l'extraterritorialité de certaines lois étrangères (EUROPE 13394/9), sans avoir obtenu gain de cause, à ce stade.
Si certains États sont attachés à des règles plus protectrices (en faveur de prestataires européens, ou sous contrôle européen), d'autres se montrent plus réticents à l'idée d'imposer des règles qui restreindraient de fait l'accès au marché intérieur de l'Union.
Ce qui était au départ une simple harmonisation technique d’approches disparates est devenu un outil stratégique majeur pour la cybersécurité de l’UE, dans un contexte géopolitique de plus en plus changeant.
Voir le texte provisoire : https://aeur.eu/f/kag (Isalia Stieffatre)