L’Agence européenne pour la cybersécurité (ENISA) s’est vu confier la mission de préparer un schéma candidat pour les services « cloud » par la Commission européenne en novembre 2019. Ce schéma candidat, intitulé EUCS (European Cybersecurity Certification Scheme for Cloud Services), permettra aux prestataires de services « cloud » d’assurer la conformité de leurs services par rapport à des exigences spécifiques et uniques à travers l’Union européenne, visant à garantir un haut niveau de sécurité et la confiance dans ces services. Le cadre juridique de ce schéma de certification a été fixé dans le règlement (UE) 2019/881 sur la cybersécurité (Cybersecurity Act).
Pourquoi la Commission Européenne opte-t-elle pour un schéma de certification de cybersécurité commun pour les services « cloud » ?
Aujourd’hui, de nombreux schémas de certification existent à travers les différents Etats membres, comme, entre autres, C5 de BSI en Allemagne, SecNumCloud de l’ANSSI en France et ENS de l’OC-CCN en Espagne. Bien que ces schémas de certification aient le même objectif, c‘est-à-dire de mettre en place un cadre règlementaire pour assurer la sécurité des services « cloud », ils ont une approche et des exigences différentes. Par conséquent, une fragmentation importante du marché intérieur relatif aux Technologies de l’Information et de la Communication (TIC) peut être constatée. Les prestataires de services qui ont l’intention de fournir des services « cloud » dans d’autres Etats membres sont donc exposés à des conditions et contraintes différentes.
Pour résoudre ces problèmes, un schéma européen de certification de cybersécurité pour les services « cloud » commun va être conçu pour uniformiser et harmoniser le marché. L’objectif est d’offrir un cadre juridique unique, de renforcer la confiance, ainsi que la transparence dans le marché intérieur. Ce nouveau schéma de certification se basera sur les cadres existants, tels que les schémas de certification « cloud » des différents Etats membres, des normes et des règles techniques.
Quels services seront couverts par ce schéma de certification ?
Actuellement, de nombreuses possibilités sont en cours d’analyse par l’ENISA et son groupe de travail « Ad Hoc », qui est composé d’experts issus du secteur des TIC. Dans ce contexte, le groupe de travail CSPCERT (The European Cloud Service Provider Certification Working Group), qui participe dans le groupe de travail ad hoc de l’ENISA, a proposé les services suivants :
Infrastructure-as-a-Service (IaaS)
Platform-as-a-Service (PaaS)
Software-as-a-Service (SaaS)
Anything-as-a-Service (XaaS)
Selon la Commission européenne, les services et infrastructures « cloud » sont indispensables pour poursuivre l’innovation d’autres services qui en dépendent, par exemple le big data, la blockchain ou encore l’intelligence artificielle. Dans ce cadre, le nouveau schéma de certification devrait être plus générique et servir de base pour l’utilisation sécurisée de services plus avancés.
Quand est-ce que les prestataires de services « Cloud » pourront procéder à une certification européenne de cybersécurité pour leurs services « cloud » ?
Le développement du schéma candidat pour les services « cloud » s'est achevé à la fin de l’année 2020 et il a été soumis a une consultation publique jusqu'au 7 février 2021. Une certification ne sera possible que suite à l’adoption du schéma par la Commission européenne au moyen d'actes d'exécution.
Quel est le rôle de l’ILNAS dans ce contexte ?
La Commission européenne a invité l’ILNAS, à travers son Service de l’autorité nationale de certification de cybersécurité, à participer aux groupes de travail ad hoc de l’ENISA pour assurer le suivi et pour contribuer au développement du schéma de certification « cloud ». Il faut préciser que, d’après le règlement (UE) 2019/881 sur la cybersécurité, une certification de cybersécurité des services « cloud » est volontaire, sauf si le droit de l’Union européenne ou d’un Etat membre l’exige différemment.
L’ILNAS a été désigné comme autorité nationale de certification de cybersécurité au Luxembourg. Une de ses missions principales sera donc de superviser et de faire respecter les règles spécifiées dans le schéma de certification « cloud » au niveau national. Si vous souhaitez davantage d’informations, ou si vous êtes intéressés à faire certifier vos produits, services et processus TIC, n’hésitez pas à nous envoyer un e-mail à l’adresse supervision-cybersecurite@ilnas.etat.lu.