Dans le cadre du Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité) (Cybersecurity act, ou CSA) visant à harmoniser, au sein du marché unique numérique de l’Union européenne (UE), l’activité de certification en matière de cybersécurité des produits, services et processus des Technologies de l’Information et de la Communication (TIC), la Commission européenne a formellement adopté un acte d’exécution pour le schéma de certification européen basé sur les critères communs (European Common Criteria-based cybersecurity certification scheme, ou EUCC). La portée de ce dernier est l’ensemble des produits TIC – tels que les logiciels, équipements, ou firmware – intégrant des fonctionnalités de sécurité.
L’EUCC est, par cette adoption, le premier schéma du CSA à être ainsi formellement activé. Concrètement, il permettra à tout acteur économique de l’UE de faire valoir une reconnaissance automatique dans chaque état membre d’un certificat EUCC sur un produit TIC donné. Ce schéma sert ainsi de successeur à l’accord de reconnaissance mutuelle du SOG-IS (Senior Officials Group – Information Systems Security), avec de surcroit une portée géographique accrue, étendue à tous les membres de l’UE. Il s’adresse en priorité aux constructeurs et développeur de produits TIC, qui souhaitent démontrer la sécurité de ces derniers, mais également aux acquéreurs de ces produits qui ont des exigences de sécurité à respecter en matière de déploiement de systèmes.
Le schéma – couvrant les niveaux d’assurances CSA « substantiel » et « élevé » - est fondamentalement ancré dans l’utilisation de la série de normes internationales ISO/IEC 15408 - Information security, cybersecurity and privacy protection - Evaluation criteria for IT security, également connue sous l’appellation ‘critères communs’. Cette série comporte notamment cinq parties servant à définir, pour un produit TIC donné, un référentiel d’exigences d’une part en fonctionnalités de sécurité et d’autre part en assurance de sécurité. La norme internationale ISO/IEC 18045 Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Methodology for IT security evaluation vient compléter la série en spécifiant la méthodologie générale d’évaluation à suivre dans ce référentiel. Ces normes, accessibles gratuitement, sont développées et maintenues par le sous-comité de normalisation technique international ISO/IEC JTC 1/SC 27 Information security, cybersecurity and privacy protection et ont été adoptées comme normes européennes par le comité de normalisation européen CEN/CLC/JTC 13 Cybersecurity and Data Protection. Elles sont également disponibles sur le portail des critère communs.
La description complète du schéma lui-même se trouve sur le site web de l’agence européenne de cybersécurité, l’ENISA. A noter qu’il spécifie également d’autres aspects concrets nécessaires à sa mise en utilisation, tels que les exigences sur les organismes d’évaluation de la conformité (OEC) délivrant les certificats ou menant les tests, les règles de fonctionnement – notamment en matière de surveillance - des autorités nationales de certification de cybersécurité (National Cybersecurity Certification Authorities, ou NCCA, structures nouvellement créées par le CSA), ou les étapes à suivre en cas de découverte de nouvelles vulnérabilités ou d’incidents de sécurité. L’ENISA et la Commission européenne travaillent également sur l’élaboration de guides de soutien, en particulier pour les organismes d’accréditation nationaux qui accréditent les OEC. Des informations supplémentaires sont disponibles sur le mini-site de l’ENISA.
Il est à noter que d’autres schémas de certification CSA sont en préparation : l’EUCS portant sur les services d’informatique en nuage et l’EU5G portant sur certains équipements 5G. La rédaction des schémas du CSA est une activité de l’ENISA.
Rappelons enfin que dans le cadre du CSA, l’ILNAS a été désigné NCCA au Luxembourg. Pour toute question relative au CSA ou aux schémas de certification associés, vous pouvez nous contacter à l’adresse suivante : supervision-cybersecurite@ilnas.etat.lu.