Bienvenue sur le site de l'Autorité Nationale de Certification de Cybersécurité (ANCC - National Cybersecurity Certification Authority) du Luxembourg. Ce site web propose des informations sur la certification de cybersécurité de l'UE, les schémas de certification développés dans le cadre de la loi sur la cybersécurité et la mise en œuvre par l'OLCN de la délégation préalable au luxembourg, garantissant un processus de certification transparent et efficace. La procédure de surveillance est schématisée ci-dessous et détaillée dans le document annexé.
EUCC
Introduction
L'Agence européenne pour la cybersécurité (ENISA) a publié son premier schéma candidat, développé dans le cadre du règlement (UE) 2019/881 sur la cybersécurité (« Cybersecurity Act – CSA »). Ce dernier, intitulé EUCC (Common Criteria based European candidate cybersecurity certification scheme), concerne la certification de la cybersécurité des produits TIC.
Le schéma de certification de cybersécurité Européen (EUCC) vise à succéder aux schémas existants fonctionnant dans le cadre du SOG-IS MRA. Il concerne la certification de cybersécurité des produits TIC tels que les pare-feux, les dispositifs de signature électronique, les smartphones, les cartes bancaires et se base sur les critères communs, la méthodologie commune d'évaluation de la sécurité des technologies de l'information et les normes correspondantes, respectivement ISO/IEC 15408 et ISO/IEC 18045. Il s’agit du premier schéma candidat développé dans le cadre du Cybersecurity Act.
L’EUCC entend améliorer la cybersécurité des produits TIC du marché intérieur de l'Union Européenne (UE), et impacter positivement l’ensemble des services et processus TIC qui reposent sur ces produits. Les principales caractéristiques de l’EUCC sont les suivantes :
Il est basé sur le SOG-IS MRA et les critères communs et intègre des règles de transition ;
Il est applicable aux produits TIC ;
Il couvre les niveaux d'assurance « substantiel » et « élevé » ;
La validité du certificat est de cinq ans et peut être renouvelée ;
Il permet une certification composite (c’est-à-dire la réutilisation de certifications pour une évaluation de cybersécurité des différentes composantes d’un produit TIC, par exemple une certification d’une composante matérielle pourra être réutilisée pour une évaluation d’une composante logicielle qui y est associée) ;
Il bénéficie d’une reconnaissance dans tous les États membres de l'UE ;
Il s’agit d’un schéma à caractère volontaire ;
Il propose des conditions harmonisées pour le traitement et la divulgation des vulnérabilités ;
Il établit des règles claires en matière de surveillance et de traitement des cas de non-conformité ;
Il introduit un nouveau mécanisme de gestion des correctifs pour soutenir le traitement des vulnérabilités ;
Il utilise un label basé sur un cadre et un QR code pour garantir un accès facile à des informations précises sur la certification.
Certification
Conformément à l'art. 56(1) et l'article 56(2) du CSA, les produits TIC, services TIC, processus TIC et services de sécurité gérés qui ont été certifiés dans le cadre d’un schéma européen de certification de cybersécurité adopté en vertu de l’article 49 sont présumés respecter les exigences de ce schéma. La certification de cybersécurité est volontaire, sauf disposition contraire du droit de l’Union ou du droit d’un État membre.
Conformément à l'art. 60(1) du CSA, les organismes d’évaluation de la conformité sont accrédités par les organismes nationaux d’accréditation désignés conformément au règlement (CE) no 765/2008.
Autorisation
Conformément au point (e) de l'art. 58(7) du CSA, lorsqu’il y a lieu, l'OLCN autorise les organismes d’évaluation de la conformité à effectuer leurs tâches conformément à l’article 60, paragraphe 3, et limitent, suspendent ou retirent les autorisations existantes lorsque les organismes d’évaluation de la conformité violent les exigences du présent règlement. Le processus d'autorisation se fait en étroite collaboration avec le processus d'accréditation. La procédure d'autorisation est schématisée ci-dessous et détaillée dans le document annexé.
Gestion des plaintes
Conformément au point (f) de l'art. 58(7) du CSA, l'OLCN traite les réclamations relatives aux certificats européens de cybersécurité délivrés par les organismes d'évaluation de la conformité en vertu de l'art. 56(6) du CSA et aux déclarations de conformité de l'UE conformément à l'art. 53 du CSA qui sont adressées par des personnes physiques et morales en vertu de l'art. 63 du CSA à l'OLCN. La procédure de gestion des plaintes est schématisée ci-dessous et détaillée dans le document annexé.
Gestion des vulnérabilités
Conformément à l'art. 56(8) du CSA, le titulaire d’un certificat de cybersécurité européen informe l’autorité ou l’organisme visé au paragraphe 7 de toute vulnérabilité ou irrégularité détectée ultérieurement concernant la sécurité du produit TIC, service TIC, processus TIC ou service de sécurité géré, certifié susceptible d’avoir une incidence sur son respect des exigences liées à la certification. Cette autorité ou cet organisme transmet ces informations sans retard injustifié à l’OLCN. La procédure de gestion des vulnérabilités est schématisée ci-dessous et détaillée dans le document annexé.
EUCS
L’Agence européenne pour la cybersécurité (ENISA) s’est vu confier la mission de préparer un schéma candidat pour les services « cloud » par la Commission européenne en novembre 2019. Ce schéma candidat, intitulé EUCS (European Cybersecurity Certification Scheme for Cloud Services), permettra aux prestataires de services « cloud » d’assurer la conformité de leurs services par rapport à des exigences spécifiques et uniques à travers l’Union européenne, visant à garantir un haut niveau de sécurité et la confiance dans ces services. Le cadre juridique de ce schéma de certification a été fixé dans le règlement (UE) 2019/881 sur la cybersécurité (Cybersecurity Act).
Pourquoi la Commission Européenne opte-t-elle pour un schéma de certification de cybersécurité commun pour les services « cloud » ?
Aujourd’hui, de nombreux schémas de certification existent à travers les différents Etats membres, comme, entre autres, C5 de BSI en Allemagne, SecNumCloud de l’ANSSI en France et ENS de l’OC-CCN en Espagne. Bien que ces schémas de certification aient le même objectif, c‘est-à-dire de mettre en place un cadre règlementaire pour assurer la sécurité des services « cloud », ils ont une approche et des exigences différentes. Par conséquent, une fragmentation importante du marché intérieur relatif aux Technologies de l’Information et de la Communication (TIC) peut être constatée. Les prestataires de services qui ont l’intention de fournir des services « cloud » dans d’autres Etats membres sont donc exposés à des conditions et contraintes différentes.
Pour résoudre ces problèmes, un schéma européen de certification de cybersécurité pour les services « cloud » commun va être conçu pour uniformiser et harmoniser le marché. L’objectif est d’offrir un cadre juridique unique, de renforcer la confiance, ainsi que la transparence dans le marché intérieur. Ce nouveau schéma de certification se basera sur les cadres existants, tels que les schémas de certification « cloud » des différents Etats membres, des normes et des règles techniques.
Quels services seront couverts par ce schéma de certification ?
Actuellement, de nombreuses possibilités sont en cours d’analyse par l’ENISA et son groupe de travail « Ad Hoc », qui est composé d’experts issus du secteur des TIC. Dans ce contexte, le groupe de travail CSPCERT (The European Cloud Service Provider Certification Working Group), qui participe dans le groupe de travail ad hoc de l’ENISA, a proposé les services suivants :
Infrastructure-as-a-Service (IaaS)
Platform-as-a-Service (PaaS)
Software-as-a-Service (SaaS)
Anything-as-a-Service (XaaS)
Selon la Commission européenne, les services et infrastructures « cloud » sont indispensables pour poursuivre l’innovation d’autres services qui en dépendent, par exemple le big data, la blockchain ou encore l’intelligence artificielle. Dans ce cadre, le nouveau schéma de certification devrait être plus générique et servir de base pour l’utilisation sécurisée de services plus avancés.
Quand est-ce que les prestataires de services « Cloud » pourront procéder à une certification européenne de cybersécurité pour leurs services « cloud » ?
Le développement du schéma candidat pour les services « cloud » s'est achevé à la fin de l’année 2020 et il a été soumis a une consultation publique jusqu'au 7 février 2021. Une certification ne sera possible que suite à l’adoption du schéma par la Commission européenne au moyen d'actes d'exécution.
FAQ
Comment contacter l'ANCC ?
Informations utiles afin de contacter l'ANCC.
Pourquoi une certification Européenne ?
La certification est un outil qui permet aux fournisseurs de produits et aux prestataires de services de démontrer et de promouvoir la cybersécurité de leurs solutions.
En développant la certification de cybersécurité au niveau de l'UE, l'objectif est d'harmoniser la reconnaissance du niveau de cybersécurité des solutions TIC dans toute l'Union, permettant aux fournisseurs et aux prestataires de services d'atteindre davantage de clients.
Les systèmes de certification de l'UE sont développés par l'ENISA dans le cadre défini dans la loi sur la cybersécurité et en tenant compte des systèmes et normes existants.
Volontaires dans le but de renforcer le marché unique numérique de l'UE, les futurs systèmes peuvent également être encouragés comme moyen de démontrer la conformité aux exigences d'autres législations. Ces autres législations (par exemple, eIDAS) peuvent également imposer la certification de cybersécurité de l'UE.
Où trouver les documents et formulaires relatifs à la certification
Tous les documents relatifs à la certification en cybersécurité se trouve dans la rubrique Documents
Qu'est-ce que le projet CORAL ?
Le CSA introduit trois niveaux d’assurance – ‘élémentaire’, ‘substantiel’ et ‘élevé’ – en matière de certification de cybersécurité pour les produits, services et processus TIC, allant des cas à moindre risque aux cas à risque plus important. Dans le même contexte, l’Agence de l'Union européenne pour la cybersécurité (ENISA), a la tâche de rédiger des schémas de certification portant sur des sujets spécifiques et couvrant un ou plusieurs de ces niveaux d’assurance. Par ailleurs, fait important, les certificats de cybersécurité européens obtenus dans le cadre du CSA sont automatiquement reconnus dans l’ensemble des Etats membres de l’UE. Le projet CORAL vise à faciliter la certification au niveau élémentaire des acteurs du marché dans le cadre d’un schéma européen de certification de cybersécurité.
CORAL est un projet cofinancé par le programme « Connecting Europe Facility » de l’Union européenne, ayant été mené par trois partenaires au Luxembourg, la Luxembourg House of Cybersecurity (LHC), l’ILNAS et l’ANEC GIE (clôturé le 31 octobre 2023). Le projet CORAL (« cybersecurity Certification based On Risk evALuation and treatment ») vise à adresser la certification, dans le cadre d’un schéma européen de certification de cybersécurité, au niveau ‘élémentaire’ et est, à notre connaissance, le premier projet européen au Luxembourg à traiter ce sujet. Il a pour objectif de développer une boîte à outils pour aider à rendre la certification européenne de cybersécurité concrètement réalisable pour les acteurs du marché dans des cas d’utilisation à faible risque. Il s’adresse en priorité aux organisations disposant de ressources limitées à dédier à la cybersécurité.
Dans ce cadre, CORAL se positionne comme une méthodologie accompagnant la certification de cybersécurité pour des schémas européens qui couvrent le niveau d’assurance élémentaire. Il suggère une approche et propose des outils basés sur des critères officiels existants pour évaluer la maturité en cybersécurité d’un produit, service, ou processus TIC. S’appuyant sur cette évaluation, une organisation peut se porter candidate à une certification de cybersécurité, pour un produit, service, ou processus, dans le cadre du CSA au niveau d’assurance ‘élémentaire’, à partir du moment où les schémas de certification intégrant ce niveau ont officiellement été adoptés par l’Union européenne. Actuellement, deux projets de schémas existent (ils seront effectifs, à terme, par l’adoption des actes d’exécution ad hoc par la Commission européenne) :
- L’EUCC, portant sur les produits TIC en général, aux niveaux ‘substantiel’ et ‘élevé’. L’EUCC ne précise pas de niveau d’assurance ‘élémentaire’ et n’est par conséquent pas dans la portée de CORAL ;
- L’EUCS, portant sur les services d’informatique en nuage, ou « cloud », aux niveaux ‘élémentaire’, ‘substantiel’, et ‘élevé’. La présence du niveau ‘élémentaire’ place ce schéma dans la portée de CORAL.
Les outils développés dans le cadre du projet CORAL, composés d’un ensemble de questionnaires ainsi que d’une procédure globale, s’adressent à deux catégories principales d’utilisateurs :
- Les petites et moyennes entreprises (PME) qui souhaitent évaluer la maturité en cybersécurité du produit, service ou processus qu’elles proposent, éventuellement dans l’optique d’obtenir une certification au niveau ‘élémentaire’ ;
- Les auditeurs travaillant pour le compte d’organismes d’évaluation de la conformité compétents pour la délivrance de certificats en regard des schémas CSA décrits précédemment, et qui peuvent réaliser un audit basé sur les réponses fournies à travers les questionnaires de l’outil.
Les questionnaires de CORAL ont été élaborés à partir de sources bien établies en matière de sécurité de l’information : normes internationales ou européennes, bonnes pratiques internationalement reconnues, projets de schémas européens de certification de cybersécurité. Ainsi, la méthodologie CORAL dispose d’une flexibilité suffisante pour s’aligner aux schémas CSA existants et à venir. Quant au profil auditeur proposé par CORAL - qui propose une base pour les compétences dont doivent disposer les auditeurs amenés à délivrer des certificats de cybersécurité européens - il est ancré dans la « Cybersecurity Skills Framework » de l’ENISA.
L’outil CORAL est disponible sur une plateforme dédiée. L’ensemble des parties intéressées sont invitées à le tester et à partager leur avis, contribuant ainsi à l’amélioration continue du projet. Tout commentaire relatif à CORAL et à ses outils peut être envoyé à l’adresse coral@lhc.lu.
L'ensemble des livrables du projet peut être consulté sur le site dédié.
A noter qu’au Luxembourg, l’ILNAS a été nommé « National Cybersecurity Certification Authority » en charge des activités de supervision. Toute demande portant sur le CSA en général peut être envoyée à l’adresse électronique supervision-cybersecurite@ilnas.etat.lu. L’ILNAS est également l’organisme national de normalisation pour le Luxembourg, avec lequel tout acteur du marché peut prendre contact via normalisation@ilnas.etat.lu pour s’impliquer dans des activités de normalisation, par exemple en relation avec les normes techniques en soutien au CSA. Enfin, la LHC est l’agence nationale en matière de cybersécurité pour l’économie et les municipalités au Luxembourg, et offre aussi des outils « open-source » et des bonnes pratiques générales en matière d’évaluation de la maturité en cybersécurité pour les PME.
CORAL en vidéo
Les partenaires présentent le projet
La normalisation en Cybersécurité en soutien au CSA