Le système EUCC vise à certifier la cybersécurité des produits TIC en s'appuyant sur les critères communs (CC), la méthodologie commune d'évaluation de la sécurité des technologies de l'information et les normes correspondantes. Les critères communs se sont révélés particulièrement efficaces pour la certification des puces et des cartes à puce en particulier. Ils ont contribué à améliorer la sécurité de plusieurs types d'applications sensibles telles que les dispositifs de signature électronique pour l'identification, les passeports, les cartes bancaires et les tachygraphes pour camions. Les CC ont également été activement utilisés pour la certification de la cybersécurité des produits logiciels TIC.
Les certificats délivrés via le système EUCC visent à améliorer les conditions du marché intérieur de l'Union européenne pour les produits TIC et à avoir des effets positifs globaux pour les services TIC et les processus TIC reposant sur ces produits.
Les certificats sont délivrés à des versions spécifiques d'un produit TIC qui ont subi une évaluation CC par un centre d'évaluation (ITSEF).
Mais qu'advient-il d'un certificat une fois qu'une vulnérabilité affectant le produit TIC en question est révélée et comment devons-nous gérer une telle vulnérabilité ?
Conformément au programme EUCC, les fabricants et fournisseurs de produits TIC devront utiliser les étapes générales de la norme ISO/IEC 30111 pour la gestion des vulnérabilités (préparation, réception, vérification, développement de la correction, publication, post-publication) avec les règles d'application spécifiques suivantes :
Tout d’abord, les fabricants et les fournisseurs sont tenus de développer des méthodes pour recevoir les informations sur les vulnérabilités et les rendre publiques. Cette exigence aura un impact considérable sur la manière dont les fournisseurs sont habitués à communiquer sur leurs revendications de sécurité. Un excellent exemple de service qui pourrait être utilisé pour répondre à cette exigence est présenté par VulnerableThings - un service coordonné de gestion et de reporting des divulgations de vulnérabilités destiné aux chercheurs, aux consommateurs et aux fabricants en sécurité IoT.
Si le fabricant ou le fournisseur reçoit des informations sur la vulnérabilité, il est tenu de les signaler immédiatement à l'organisme de certification (OC) qui a délivré le certificat et de fournir une date à laquelle une analyse de vulnérabilité sera effectuée. Si l'OC obtient les informations sur la vulnérabilité en premier, il en informe immédiatement le fabricant ou le fournisseur et demande une analyse de vulnérabilité, ainsi qu'une date pour cette analyse.
Si, par exemple, le fabricant ou le fournisseur ne parvient pas à informer l’OC de la vulnérabilité ou à fournir l’analyse de vulnérabilité, le certificat sera suspendu.
Dans le cas contraire, l'analyse de vulnérabilité sera documentée et la documentation devra être conservée pendant au moins cinq ans. Elle contiendra le calcul du potentiel d'attaque, une indication si la vulnérabilité est réfutée ou confirmée, l'évaluation de l'impact sur le produit TIC et les éventuelles résolutions de la vulnérabilité (avec les risques d'attaque possibles et le niveau des changements qui devront être appliqués), et enfin, une conclusion sur la possibilité de contourner la vulnérabilité. Dans ce cas, le certificat sera révoqué.
Le produit ICT certifié peut inclure ou non un mécanisme de gestion des correctifs. Dans les deux cas, le fabricant ou le fournisseur doit décider de la correction à apporter et apporter les modifications nécessaires au produit ICT.
Une fois que la correction et les modifications associées au produit TIC sont déclarées aptes au déploiement, le fabricant ou le fournisseur procédera à leur mise en œuvre ou à leur diffusion conformément aux exigences de l'article 55.1.
Si vous souhaitez en savoir plus sur le système EUCC ou sur la procédure de gestion des vulnérabilités de vos produits TIC, contactez les experts en certification de cybersécurité EUCC .