L'Agence européenne pour la cybersécurité (ENISA) a récemment lancé une consultation publique sur son premier schéma de certification de cybersécurité, développé dans le cadre du règlement (UE) 2019/881 sur la cybersécurité (Cybersecurity Act - CSA). Ce dernier, intitulé EUCC (Common Criteria based European candidate cybersecurity certification scheme), concerne la certification de la cybersécurité des produits TIC. Cette consultation publique vise à collecter l’avis de toutes les parties intéressées. Elle est ouverte jusqu’au 31 juillet 2020.
Le nouveau schéma de certification de cybersécurité EUCC vise à succéder aux schémas existants fonctionnant dans le cadre du SOG-IS MRA. Il concerne la certification de cybersécurité des produits TIC et se base sur les critères communs, la méthodologie commune d'évaluation de la sécurité des technologies de l'information et les normes correspondantes, respectivement ISO/IEC 15408 et ISO/IEC 18045. Il s’agit du premier schéma candidat développé dans le cadre du CSA. Un deuxième schéma candidat est actuellement en préparation et concerne la certification de cybersécurité des services « cloud ».
PARTICIPER A LA CONSULTATION PUBLIQUE
L’EUCC entend améliorer la cybersécurité des produits TIC (ex. : pare-feu, dispositif de signature électronique, smartphones, cartes bancaires, etc.) du marché intérieur de l'Union Européenne (UE), et impacter positivement l’ensemble des services et processus TIC qui reposent sur ces produits. Les principales caractéristiques de l’EUCC sont les suivantes :
- Il est basé sur le SOG-IS MRA et les critères communs et intègre des règles de transition ;
- Il est applicable aux produits TIC ;
- Il couvre les niveaux d'assurance « substantiel » et « élevé » ;
- La validité du certificat est de cinq ans et peut être renouvelée ;
- Il permet une certification composite (c’est-à-dire la réutilisation de certifications pour une évaluation de cybersécurité des différentes composantes d’un produit TIC, par exemple une certification d’une composante matérielle pourra être réutilisée pour une évaluation d’une composante logicielle qui y est associée) ;
- Il bénéficie d’une reconnaissance dans tous les États membres de l'UE ;
- Il s’agit d’un schéma à caractère volontaire ;
- Il propose des conditions harmonisées pour le traitement et la divulgation des vulnérabilités ;
- Il établit des règles claires en matière de surveillance et de traitement des cas de non-conformité ;
- Il introduit un nouveau mécanisme de gestion des correctifs pour soutenir le traitement des vulnérabilités ;
- Il utilise un label basé sur un cadre et un QR code pour garantir un accès facile à des informations précises sur la certification.
La consultation publique permet aux parties intéressées de donner leur avis sur l'EUCC jusqu'au 31 juillet, 12h00 CET. Les résultats de cette consultation seront traités et partagés par l’ENISA.
Pour rappel, l’ILNAS a été désigné autorité nationale de certification de cybersécurité (NCCA – National Cybersecurity Certification Authority) au Luxembourg dans le cadre du CSA. L’ILNAS est également membre du groupe européen de certification de cybersécurité (ECCG) qui a participé au développement de l’EUCC.