L'ENISA (European Union Agency for Network and Information Security) a récemment publié un nouveau rapport visant à explorer le cadre d’audit eIDAS pour la qualification des Prestataires de Services de Confiance (PSC) et à le comparer avec des schémas d’audit concurrents pour détecter des pistes d’amélioration. Le rapport s’intéresse en particulier aux services d’émission de certificats qualifiés d’authentification de sites web (QWAC).
Le règlement eIDAS définit un cadre pour l’octroi du statut qualifié à des services de confiance (signature électronique, cachet électronique, horodatage, etc.) visant à renforcer la confiance des consommateurs dans l'environnement numérique et à améliorer la transparence du marché des services de confiance.
Dans ce cadre, les Prestataires de Services de Confiance Qualifiés (PSCQ) sont soumis à des audits réguliers visant à garantir leur conformité vis-à-vis des exigences définies dans le règlement eIDAS. Ces derniers sont effectués par des organismes d’évaluation de la conformité accrédités.
C’est à ces aspects que s’intéresse de près ce rapport de l’ENISA, formulant des propositions pour améliorer l’acceptation globale des audits eIDAS. Il fournit ainsi diverses recommandations, telles que l’harmonisation de l’évaluation de la conformité au niveau européen et sa promotion au niveau international ou encore le référencement et la promotion de normes spécifiques couvrant l’audit des TSP et l’évaluation de la conformité. Le rapport fournit également une étude plus détaillée du service d’émission de certificats qualifiés d’authentification de sites web (QWAC) et entend promouvoir leur diffusion et leur utilisation.
Le rapport « Towards global acceptance of eIDAS audits » de l’ENISA est disponible ici.