Il existe actuellement de nombreuses initiatives de certification de cybersécurité dans l'UE. Cependant, l'UE souhaite mettre en place un cadre de certification à l'échelle européenne par le biais de la loi sur la cybersécurité . Actuellement, les critères d'évaluation de la sécurité informatique en Europe centrale sont basés sur la reconnaissance mutuelle (SOG-IS), mais seuls les États membres suivants en font partie : l'Autriche, la Croatie, l'Estonie, la Finlande, la France, l'Allemagne, l'Italie, les Pays-Bas, le Luxembourg, la Pologne, l'Espagne et la Suède, en plus du Royaume-Uni et de la Norvège.
Certains pays ont mis en place des initiatives nationales de certification qui ne sont pas mutuellement reconnues. Examinons quelques certifications nationales pour les produits TIC :
Assurance des produits commerciaux (CPA)
CPA est un système national basé au Royaume-Uni pour les produits commerciaux prêts à l'emploi. Il est ouvert à tous les vendeurs, fournisseurs et développeurs de produits de sécurité dont la base de vente est au Royaume-Uni. Comme il garantit les produits de sécurité, ils sont évalués par rapport aux SC (caractéristiques de sécurité) pour chaque type de produit. Il s'agit notamment des pare-feu d'applications Web, du cryptage et des compteurs intelligents. Les SC comportent également trois atténuations ou exigences que chaque produit est censé satisfaire : le développement, la vérification et le déploiement.
L'évaluation CPA est valable deux ans, mais comme il n'existe pas d'accord de reconnaissance mutuelle (ARM) pour cette certification, les produits testés au Royaume-Uni ne seront pas acceptés comme certifiés sur d'autres marchés. En dehors du Royaume-Uni, la certification CPA n'est pas largement reconnue.
Évaluation de la sécurité de base des produits (BSPA)
Le système néerlandais Baseline Security Product Assessment a démarré sa phase pilote en 2015. Le système évalue l'adéquation des produits de sécurité informatique à une utilisation dans le domaine « sensible mais non classifié ». Il est assez coûteux à obtenir et le processus global prend jusqu'à 2 mois. Le coût moyen d'une certification dans le cadre du Baseline Security Product Assessment aux Pays-Bas s'élève à environ 40 000 euros.
Certification Sécuritaire de Premier Niveau (CSPN)
L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a créé le CSPN en 2008. Il s'agit d'un système de certification de sécurité informatique qui offre une alternative moins coûteuse et plus rapide aux critères communs (CC) et à la norme fédérale de traitement de l'information (FIPS). Le CSPN est un processus de certification assez léger qui dure jusqu'à 8 semaines et coûte entre 25 000 et 35 000 euros.
L’ensemble des critères de sécurité auxquels un produit doit répondre, ainsi que la méthodologie et le processus de certification, sont basés sur la norme créée par l’ANSSI. Elle ne s’applique qu’en France, même si des modèles similaires pourraient bientôt être adoptés dans toute l’Union européenne et même aux États-Unis.
SOG-IS MRA
L'accord SOG-IS (Senior Officials Group — Information Systems Security) est une réponse à la décision du Conseil de l'UE du 31 mars 1992. Les participants à l'accord sont des agences et organisations gouvernementales des pays de l'UE ou de l'AELE (Association européenne de libre-échange).
Le SOG-IS MRA est le principal mécanisme de certification en Europe, mais il ne comprend que 12 États membres et la Norvège. Il n'a pas non plus développé de nombreux profils de protection : il couvre principalement les signatures numériques, le tachygraphe numérique et les cartes à puce.
COMMENT EN TIRER LE MEILLEUR PARTI ?
Vous aurez probablement besoin de certaines de ces certifications de sécurité nationale si vous souhaitez vendre votre produit au Royaume-Uni, aux Pays-Bas ou en France. Le processus peut être long, mais dans la plupart des cas, moins long que pour une certification CC, qui peut prendre plus d'un an dans certains cas. Quel que soit l'appareil que vous vendez, vous devrez peut-être vous conformer aux normes de sécurité locales. Ces normes varient même au sein de l'UE, ce qui rend le processus de mise en œuvre coûteux et long. La meilleure solution consiste simplement à répondre à toutes les exigences de sécurité nationale en même temps en mettant en œuvre un cadre d'assurance de sécurité intelligent.