Avec l'introduction du système européen de certification de cybersécurité basé sur les critères communs (EUCC), la Commission européenne réalise une avancée significative à une époque où les menaces à la cybersécurité sont plus graves que jamais. Soutenu par le règlement (UE) 2019/881, parfois appelé « loi sur la cybersécurité », ce cadre créatif unifie les procédures de certification des États membres tout en renforçant l'engagement de l'UE à améliorer la cybersécurité.
S'appuyant sur les critères communs (CC) largement acceptés pour l'évaluation de la sécurité de l'information, l'EUCC propose une méthode standardisée pour la certification des produits TIC. Cette action favorise une Europe numérique plus résiliente en facilitant l'acceptation mutuelle des certificats de sécurité et en soulignant l'engagement de l'UE à maintenir les normes les plus élevées en matière de cybersécurité. Ce système marque un tournant pour la gouvernance de la cybersécurité dans l'UE, car la Commission européenne espère améliorer la confiance et la sécurité dans un écosystème numérique en évolution rapide en définissant clairement les rôles, les réglementations et les obligations.
L'objectif de l'EUCC est de fournir un cadre révolutionnaire de certification des technologies de l'information et de l'informatique en Europe, améliorant le niveau de sécurité des produits TIC dédiés à la sécurité ( c'est-à-dire les pare-feu, les dispositifs de chiffrement, les passerelles, etc.) ainsi que de tout produit TIC intégrant une fonctionnalité de sécurité (c'est-à-dire les routeurs, les smartphones, les cartes bancaires, etc.). Ce nouveau système, qui remplace le précédent MRA SOG-IS, apparaît comme un élément majeur de la loi sur la cybersécurité de l'UE.
Au-delà d'être une exigence réglementaire, les EUCC permettent d'améliorer les conditions du marché intérieur en Europe . Sans plus attendre, plongeons-nous dans nos 12 idées clés :
1. Mécanisme de gestion des correctifs : l'EUCC introduit un mécanisme de gestion des correctifs innovant, garantissant une conformité continue et une adaptation proactive aux menaces de cybersécurité en constante évolution. Cette approche structurée améliore la longévité et l'efficacité des produits certifiés.
2. Documents et conseils de pointe : le programme intègre des documents de pointe (SoTA), qui fournissent des conseils détaillés sur la mise en œuvre des normes et pratiques de cybersécurité les plus récentes. Cette inclusion garantit que les produits certifiés respectent les normes industrielles innovantes.
3. EUCC et Cyber Resilience Act (CRA) : l'EUCC s'aligne sur le Cyber Resilience Act (CRA) pour démontrer sa conformité, bien que des étapes supplémentaires soient nécessaires pour une conformité totale au CRA. Ce lien souligne la synergie entre les deux cadres.
4. Clarifications et recommandations : La loi d'application de l'EUCC apporte des éclaircissements et des recommandations indispensables, notamment en ce qui concerne la non-conformité, les processus de révision de la certification et la gestion des nouveaux domaines techniques. Cette clarté renforce la transparence et la responsabilité au sein du processus de certification.
5. Profils de protection certifiés (PP) et surveillance de la conformité : les PP certifiés font partie intégrante de la conformité EUCC et doivent être inclus dans la surveillance de la conformité par les autorités nationales de certification de cybersécurité. Ces profils font également l'objet d'évaluations par les pairs pour évaluer la méthodologie, les outils et les compétences appliqués dans les évaluations de produits TIC, contribuant ainsi à la définition de domaines techniques basés sur des profils de protection spécifiques.
6. Méthodologie de certification et d'évaluation : L'EUCC impose des évaluations de conformité par des tiers, par des centres d'évaluation de la sécurité des technologies de l'information (ITSEF) et des organismes de certification, interdisant l'auto-évaluation. Cette approche garantit un niveau élevé de confiance et d'assurance dans les produits TIC certifiés, conformément aux méthodologies harmonisées établies.
7. Gestion et analyse des vulnérabilités : les détenteurs de certificats EUCC doivent mettre en œuvre des procédures complètes de gestion des vulnérabilités, effectuer des analyses de vulnérabilité approfondies et signaler les résultats. Le respect de normes telles que la norme EN ISO/IEC 29147 pour la divulgation des vulnérabilités garantit la transparence et une réponse rapide.
8. Accords de reconnaissance mutuelle et évaluations par les pairs : l'EUCC établit les conditions des accords de reconnaissance mutuelle avec les pays tiers, visant à remplacer les accords existants. Les évaluations par les pairs garantissent la conformité, l'harmonisation des opérations et l'échange de bonnes pratiques entre les organismes de certification et les ITSEF.
9. Exigences d'autorisation pour les ITSEF : Pour être autorisés en vertu de l'EUCC, les ITSEF doivent démontrer leurs capacités, notamment en déterminant l'absence de vulnérabilités connues, la mise en œuvre correcte des fonctionnalités de sécurité de pointe pour des technologies spécifiques et la résistance du produit TIC ciblé aux attaquants qualifiés. Pour certains domaines techniques comme les cartes à puce et les dispositifs matériels avec boîtiers de sécurité, les ITSEF doivent également répondre à des exigences techniques minimales et être capables de mener divers types d'attaques comme indiqué dans les documents de soutien des critères communs.
10. Protection des données confidentielles et des secrets commerciaux : les organismes d'évaluation de la conformité (CAB) et les autorités nationales de certification de la cybersécurité (NCCA) qui traitent des données sensibles doivent posséder les compétences techniques et les systèmes nécessaires pour protéger ces informations, y compris les secrets commerciaux et la propriété intellectuelle. Le respect de ces exigences est essentiel pour l'accréditation et l'autorisation, garantissant la sécurité et la confidentialité des données sensibles.
11. Marques et labels EUCC pour la fiabilité : Le système EUCC utilise des marques et des labels distinctifs pour mettre en valeur visuellement la fiabilité des produits TIC certifiés. Cette clarté visuelle aide les utilisateurs à prendre des décisions éclairées. Il est important de noter que l'application de ces marques et labels est régie par des règles et conditions spécifiques, méticuleusement décrites dans les normes ISO/IEC telles que 17065 et 17030.
12. Durée de validité des certificats : Dans le cadre de l'EUCC, les organismes de certification sont responsables de la détermination de la durée de validité des certificats. Cette décision nécessite une réflexion approfondie sur le cycle de vie du produit TIC et sur les politiques de gestion des versions, avec une période de validité maximale de cinq ans. En outre, cette durée est conforme aux pratiques en vigueur dans d'autres États membres pour des produits TIC analogues, garantissant ainsi la cohérence et la pertinence.

Il ne fait aucun doute que le premier système de certification de cybersécurité de l'UE changera la donne pour les entreprises au sein et en dehors de l'UE. Il est clair que dans un monde où la confiance numérique est à la fois précieuse et précaire, l'établissement d'une norme de cybersécurité uniforme est non seulement bénéfique mais nécessaire. Il ne s'agit pas seulement de l'UE ; il s'agit de créer un précédent qui pourrait façonner l'avenir de la sécurité numérique dans le monde entier. Grâce à un cadre complet et harmonisé, ce système améliorera les conditions du marché intérieur de l'UE pour les produits TIC et, par conséquent, aura également des effets positifs pour les services et processus TIC qui reposent sur ces produits. L'EUCC s'aligne non seulement sur la stratégie plus large de l'UE en matière de cybersécurité, mais établit également une norme élevée pour la certification de cybersécurité à l'échelle mondiale. En favorisant un environnement numérique sécurisé, l'EUCC contribue de manière significative à la résilience et à la fiabilité des produits TIC, soutenant en fin de compte non seulement le marché unique numérique de l'UE, mais aussi sa compétitivité mondiale.