Quel sera l'impact du premier système de certification de cybersécurité de l'UE sur votre entreprise ?
Table des matières:
Dans le monde numérique, la confiance se gagne difficilement et se perd facilement. Cela s’explique en partie par l’absence d’un système de label de sécurité universellement compris et crédible. Entrez dans le cadre de certification de cybersécurité de l'UE : une initiative de plusieurs années conçue pour harmoniser la confiance dans les produits, services et processus informatiques au sein du bloc et au-delà.
L'agence de sécurité européenne ENISA vient d'annoncer le premier programme de ce type : le système européen de cybersécurité selon des critères communs (EUCC). Selon les experts, cela complétera les règles européennes proposées en matière de cybersécurité et pourrait aider les entreprises britanniques à commercialiser leurs propres produits et à améliorer la sécurité de base de leur organisation.
Pourquoi avons-nous besoin de l’EUCC ?
Les déficiences des produits informatiques sont une cause majeure du cyber-risque. Ils peuvent être criblés de vulnérabilités logicielles ou comporter des composants matériels non sécurisés, des protocoles de communication et des configurations prêtes à l'emploi difficiles à corriger. Certains fabricants ne disposent même pas d’un programme dédié de gestion des vulnérabilités.
Pourtant, jusqu'à présent, il était difficile pour les acheteurs informatiques de distinguer les produits sécurisés du marché des produits également non sécurisés et des kits carrément non sécurisés. Tous les programmes de certification en vigueur étaient gérés sur une base nationale, ce qui n’est pas bon dans un monde de plus en plus globalisé et interconnecté.
Qu’est-ce que l’EUCC ?
C'est là que l'EUCC entre en jeu. Prévu par la loi européenne sur la cybersécurité (CSA) de 2019, il est conçu pour introduire un « ensemble complet de règles, d'exigences, de normes et de procédures techniques à appliquer dans toute l'Union », selon L'ENISA.
Il continue:
« De base volontaire, le nouveau système EUCC permet aux fournisseurs de TIC qui souhaitent présenter une preuve d'assurance de passer par un processus d'évaluation communément compris au sein de l'UE pour certifier les produits TIC tels que les composants technologiques (puces, cartes à puce), le matériel et les logiciels. Le système est basé sur des méthodes éprouvées Critères communs SOG-IS cadre d’évaluation déjà utilisé dans 17 États membres de l’UE. Elle propose deux niveaux d’assurance basés sur le niveau de risque associé à l’utilisation prévue du produit, du service ou du procédé, en termes de probabilité et d’impact d’un accident.
Selon Adam Pilton, consultant en cybersécurité de CyberSmart, il existe deux niveaux d'assurance de sécurité : « substantiel » et « élevé ».
"Le niveau substantiel garantit que les produits, services et processus TIC répondent aux fonctionnalités stipulées et sont à un niveau destiné à minimiser les risques de cybersécurité connus menés par des acteurs disposant de compétences et de ressources limitées", a-t-il déclaré à ISMS.online.
"L'assurance élevée garantit que les produits, services et processus TIC répondent aux fonctionnalités stipulées et sont à un niveau destiné à minimiser les cyberattaques de pointe menées par des acteurs dotés de compétences et de ressources importantes."
La certification peut durer jusqu'à cinq ans, voire plus dans certains cas. Mais si, au cours de la durée de vie d'une certification, un élément de l'actif en question change, des mesures seront nécessaires pour mettre à jour les niveaux d'assurance. S'il n'est pas réalisé de manière satisfaisante, cela pourrait entraîner la suspension ou le retrait de la certification, explique Pilton.
Comment l’EUCC pourrait profiter aux entreprises britanniques
L’EUCC présente deux avantages principaux. Espérons que cela :
Inciter les fournisseurs/fabricants de TIC à améliorer la sécurité de leurs produits, services et processus, en les encourageant à adhérer aux exigences de l'EUCC
Fournir un moyen utile aux organisations qui achètent des produits et services informatiques pour garantir que leurs achats correspondent à leur appétit pour le risque.
Un système de certification est essentiel « pour développer, lancer et gérer efficacement des appareils et des services sécurisés », selon Gil Bernabeu, CTO de l'organisation de normes techniques GlobalPlatform.
« SOG-IS a permis cela en Europe au cours de la dernière décennie. Et l’EUCC s’appuie sur cette approche, en étendant la portée et la reconnaissance dans les 27 États membres pour permettre aux fournisseurs de certifier et de vendre des produits dans toute l’Europe dans le cadre du CSA de l’UE », a-t-il déclaré à ISMS.online.
« La clé de son succès sera de garantir que les niveaux de sécurité sont cohérents dans toutes les régions et tous les marchés, d'une manière transparente, alignée sur l'industrie et accessible à l'utilisateur final. Économiser du temps, de l’argent et des efforts tout en améliorant la cybersécurité en Europe ne peut être qu’une bonne chose.»
Bien que le système soit basé dans l’UE, toute entreprise peut obtenir une certification. Cela signifie que les fournisseurs informatiques britanniques pourraient utiliser la certification pour améliorer la commercialisation de leurs solutions auprès d'une clientèle européenne. Cela profitera également aux acheteurs informatiques du Royaume-Uni, qui tenteront de différencier les fournisseurs au sein du bloc.
L'influence du projet pourrait s'étendre encore plus loin dans le temps, selon Pilton.
« Des pays du monde entier ont participé à la consultation sur ce projet, notamment le Royaume-Uni, les États-Unis, l'Australie et la Chine. Et 82 % des participants impliqués dans la consultation ont indiqué leur intention de recourir au système EUCC », dit-il.
« Avoir une certification à l’échelle de l’UE créera une Europe plus fiable et plus sûre. Et comme d’autres pays indiquent leur intention d’adopter ce système, cela aura sans aucun doute un impact mondial en garantissant que nous avons accès à des produits, processus et services fiables.
Juste le début
Bien que volontaire, ce programme pourrait avoir un impact significatif, tout comme celui du Royaume-Uni. Cyber Essentials, dit Pilton.
« L’EUCC est un projet qui peut unir un continent, un continent également influent à l’échelle mondiale. Cela améliorera bien sûr directement la cybersécurité des participants, mais augmentera également la sensibilisation, en promouvant la cyber-hygiène et les meilleures pratiques auprès de toutes les entreprises », affirme-t-il.
« Au fil du temps, cela renforcera la confiance, en encourageant le développement et le déploiement responsables de produits sécurisés. Vingt-cinq pour cent de ceux qui ont participé à la consultation EUCC ont déclaré qu'ils avaient l'intention de faire certifier leurs produits par rapport à celle-ci.
L'EUCC complétera également d'autres législations et directives en cours de développement au niveau de l'UE, par exemple aider à la conformité NIS2 pour les organisations qui ont besoin de prouver que les entités de leurs chaînes d'approvisionnement respectent les normes prescrites, explique Pilton.
C'est également l'avis de Jesus Fernández, qui était membre du groupe de travail de l'ENISA sur l'EUCC.
« Le programme volontaire complétera le Loi sur la cyber-résilience qui introduit des exigences contraignantes en matière de cybersécurité pour tous les produits matériels et logiciels dans l'UE. Le programme EUCC stimulera également la mise en œuvre de la directive NIS2. il argumente.
"A ce stade, il est donc prudent de s'attendre à de futures réglementations verticales/sectorielles qui pourraient imposer des certifications EUCC obligatoires spécifiques à des types particuliers de produits informatiques lorsqu'ils sont utilisés dans des secteurs spécifiques."
Il convient également de rappeler que l'EUCC est le premier de trois systèmes de certification en matière de cybersécurité, deux autres couvrant les services cloud et les réseaux 5G étant encore en cours de finalisation. Ensemble, ils pourraient faire beaucoup pour améliorer la sécurité de base dans la région et au-delà.
