Pour donner suite à la demande de la Commission européenne visant à développer un projet de schéma de certification pour les services de sécurité gérés, l'agence européenne de cybersécurité (ENISA), annonce un appel à candidatures pour participer aux travaux du groupe de travail ad hoc concerné.
Les services de sécurité gérés (MSS – « Managed Security Services ») soutiennent la cybersécurité dans tous les secteurs et infrastructures, qu'ils soient publics ou privés, de grande ou de petite taille, commerciaux ou stratégiques. La croissance rapide et la complexité des cybermenaces poussent les organisations à externaliser une part importante de leurs fonctions de sécurité auprès de fournisseurs de services de sécurité gérés (MSSP – « Managed Security Services Provider ») afin de protéger efficacement leurs opérations. Ces prestataires sont donc essentiels à la cybersécurité des organisations, mais ils constituent également des cibles privilégiées pour les cyberattaques.
L'importance croissante de la cybersécurité pour le marché unique se reflète dans la modification de la loi sur la cybersécurité (CSA – « CyberSecurity Act ») entrée en vigueur en février 2025.
En vertu de la loi sur la solidarité en matière de cybersécurité, les fournisseurs devront certifier leurs services dans un délai de deux ans, après la mise en place du système.
Le système de certification EUMSS devrait aborder la fourniture de MSS selon un modèle complet mais flexible. Sa structure devrait être composée de deux niveaux : un niveau horizontal couvrant les exigences minimales pour tous les MSS et plusieurs niveaux verticaux regroupant des exigences techniques spécifiques adaptées aux différents types de MSS.
La première phase du futur schéma de certification MSS se concentrera sur le cycle de vie de la gestion des incidents. Les travaux débuteront par le service de réponse aux incidents, suivi de la détection et de la remédiation.
L'ENISA est chargée de créer un groupe de travail ad hoc (AHWG – « Ad-Hoc Working Group ») composé d'experts possédant une connaissance et une expérience approfondies des domaines de certification en cybersécurité afin de soutenir la préparation du projet de schéma de certification EUMSS.