Le Règlement (UE) relatif à la certification de cybersécurité – aussi appelé le Cybersecurity Act, ou CSA - est entrée en vigueur en 2021. Il établit un cadre européen pour la certification de la cybersécurité basée sur les risques allant du niveau faible (niveau d’assurance « élémentaire ») au niveau élevé (niveau d’assurance « élevé »). Actuellement, Agence de l’Union européenne pour la cybersécurité, l'ENISA, élabore des schémas de certification, ce qui permettra d’harmoniser la certification de la cybersécurité dans le cadre du CSA au niveau européen. Afin de soutenir les acteurs du marché des technologies de l’information et des communications (TIC) intéressés par la certification au niveau d’assurance « élémentaire », trois organisations luxembourgeoises - la Luxembourg House of Cybersecurity (LHC), l’ILNAS et l’ANEC GIE - ont proposé un projet de intitulé CORAL. CORAL signifie en anglais « cybersecurity Certification based On Risk evALuation and treatment » et propose une méthodologie ainsi qu’un ensemble d'outils pour évaluer la maturité en matière de cybersécurité d’un service, produit ou processus TIC. Sur base de cette évaluation, une organisation pourra se positionner comme candidate à la certification CSA au niveau d'assurance élémentaire, une fois que les schémas de certification CSA officiels auront été lancés.
Dans la vidéo ci-dessous, les trois partenaires du projet expliquent la méthodologie derrière l'approche du projet CORAL, et une démonstration de l'outil, intitulé Fit4CSA, est faite. La vidéo introduit brièvement le CSA, explique quelles ressources ont été utilisées pour élaborer l'outil, et décrit le cheminement envisagé pour passer de l’auto-évaluation à l’audit de certification.
L'outil CORAL est gratuitement disponible en ligne sur une plateforme dédiée et peut être utilisé de façon anonyme par les PMEs qui souhaitent améliorer la cybersécurité de leurs produits, services et processus informatiques conformément aux projets de schémas de certification élaborés par l’ENISA, aux normes sélectionnées et aux autres bonnes pratiques. Tous commentaires sur l’approche du projet et sur l'outil Fit4CSA sont les bienvenus et peuvent être envoyés via cette adresse électronique.