L’Agence Européenne de Cybersécurité (ENISA) s’est vu confier la mission de préparer un schéma européen de certification de cybersécurité pour les services « Cloud » par la Commission européenne. Ce schéma de certification permettra aux prestataires de services « Cloud » d’assurer la conformité de leurs services par rapport à des exigences spécifiques et uniques à travers l’Union européenne, visant à garantir un haut niveau de sécurité et la confiance dans ces services. Le cadre juridique de ce schéma de certification a été fixé dans le règlement (UE) 2019/881 sur la cybersécurité (Cybersecurity Act).
Pourquoi la Commission Européenne opte-t-elle pour un schéma de certification de cybersécurité commun pour les services « Cloud » ?
Aujourd’hui, de nombreux schémas de certification existent à travers les différents Etats membres, comme, entre autres, C5 de BSI en Allemagne, SecNumCloud de l’ANSSI en France et ENS de l’OC-CCN en Espagne. Bien que ces schémas de certification aient le même objectif, c‘est-à-dire de mettre en place un cadre règlementaire pour assurer la sécurité des services « Cloud », ils ont une approche et des exigences différentes. Par conséquent, une fragmentation importante du marché intérieur relatif aux technologies de l’information et de la communication (TIC) peut être constatée. Les prestataires de services qui ont l’intention de fournir des services « Cloud » dans d’autres Etats membres sont donc exposés à des conditions et contraintes différentes.
Pour résoudre ces problèmes, un schéma européen de certification de cybersécurité pour les services « Cloud » commun va être conçu pour uniformiser le marché. L’objectif est d’offrir un cadre juridique unique, de renforcer la confiance, ainsi que la transparence dans le marché intérieur. Ce nouveau schéma de certification se basera sur les cadres existants, tels que les schémas de certification « Cloud » des différents Etats membres, des normes et des règles techniques.
Quels services seront couverts par ce schéma de certification ?
Actuellement, de nombreuses possibilités sont en cours d’analyse par l’ENISA et son groupe de travail « Ad Hoc », qui est composé d’experts issus du secteur des TIC. Dans un document décrivant des recommandations pour l’implémentation d’un schéma de certification de la cybersécurité pour les services « Cloud », le groupe de travail CSPCERT (The European Cloud Service Provider Certification Working Group), qui participe dans le groupe de travail « Ad hoc » de l’ENISA, a proposé les services suivants :
- Infrastructure-as-a-Service (IaaS)
- Platform-as-a-Service (PaaS)
- Software-as-a-Service (SaaS)
- Anything-as-a-Service (XaaS)
Selon la Commission, les services et infrastructures « Cloud » sont indispensables pour poursuivre l’innovation d’autres services exploitants, par exemple le big data, la blockchain ou encore l’intelligence artificielle. Dans ce cadre, le nouveau schéma de certification devrait être plus générique et servir de base pour l’utilisation sécurisée de services plus avancées.
Quand est-ce que les prestataires de services « Cloud » pourront procéder à une certification européenne de cybersécurité pour leurs services « Cloud » ?
Le développement du nouveau schéma de certification de cybersécurité pour les services « Cloud » devrait être achevé fin 2020. Néanmoins, une certification ne sera possible qu’à partir de la date d’entrée en vigueur, c’est-à-dire le 28 juin 2021.
Quel est le rôle de l’ILNAS dans ce contexte ?
La Commission européenne a invité l’ILNAS, à travers son département de la Confiance Numérique, à participer aux groupes de travail « Ad hoc » de l’ENISA pour assurer le suivi et pour contribuer au développement du schéma de certification « Cloud ». Il faut préciser que, d’après le règlement (UE) 2019/881 sur la cybersécurité, une certification de cybersécurité des services « Cloud » est volontaire, sauf si le droit de l’Union européenne ou d’un Etat membre l’exige différemment.
Comme récemment annoncé, l’ILNAS a été désigné comme autorité nationale de certification de cybersécurité au Luxembourg. Une de ses missions principales sera donc de superviser et de faire respecter les règles spécifiées dans le schéma de certification « Cloud » au niveau national. Si vous souhaitez davantage d’informations, ou si vous êtes intéressés à faire certifier vos produits, services et processus TIC, n’hésitez pas à nous envoyer un e-mail à l’adresse confiance-numerique@ilnas.etat.lu.