Après le RGPD, voici le Cybersecurity Act ! Les députés européens ont voté le 12 mars dernier le règlement concernant l’ENSIA (European Network and Information Security Agency) et la certification des TIC (technologies de l’information et de la communication) par rapport à la cybersécurité.
Voici ce qu’il faut savoir sur cette petite révolution qui va bouleverser (dans le bon sens !) l’univers de la sécurité informatique :
L’Agence de cybersécurité de l’Union Européen joue désormais un rôle prépondérant
L’ENSIA, qui a fêté ses 15 ans d’existence en mars dernier, disposait à l’origine d’un mandat jusqu’à 2020 pour :
- informer et aider les Etats membres à lutter contre les problèmes de sécurité informatique ;
- analyser les incidents affectant la sécurité des données et anticiper les risques à venir ;
- inciter les Etats à se protéger via des méthodes éprouvées (ex : le chiffrement des informations personnelles) pour renforcer leur capacité à réagir efficacement face aux différentes menaces
- simplifier le partage des bonnes pratiques et la coopération des différents acteurs du domaine de la sécurité de l’information (ex : partenariats entre le secteur public et les entreprises spécialisées du secteur privé)
- effectuer un suivi le l’élaboration des normes dans ce domaine.
Ce qui change : désormais, l’ENSIA dispose d’un mandat permanent, de davantage de ressources pour mener à bien ses missions et surtout d’une réelle autorité en matière de sécurité informatique.
L’article 3 du Cybersecurity Act prévoir de faire de l’Agence une référence pour les conseils et les compétences concernant la cybersécurité. Elle va ainsi supplanter les souverainetés numériques nationales (celles de toutes les « institutions, organes et organismes de l’Union » et même des « autres parties prenantes à l’Union »).
Un nouveau protocole pour répondre aux urgences
L’ENSIA va jouer un rôle déterminant pour développer la concertation, la coopération et l’organisation au sein de l’Union Européenne afin de mettre en place le nouveau dispositif de cybersécurité.
Europol a notamment déclaré que l’EC3 (centre européen de lutte contre la cybercriminalité) devient un outil incontournable de ce protocole puisqu’il va aider chaque pays à réagir immédiatement et efficacement « aux attaques transnationales majeures » via :
- l’examen des incidents
- le partage des renseignements
- la coordination effective de tous les aspects internationaux de chaque enquête : le protocole prévoit qui fait quoi, les procédures à suivre et les responsabilités de chacun des acteurs au niveau européen ou international, les modalités d’échange d’informations critiques…
Les schémas de certifications nationaux vont être uniformisés
Le Cybersecurity Act innove en lançant un dispositif européen uniformisé pour certifier tous les produits, services et autres processus qui concernent la cybersécurité.
Et cela change tout ! En effet, jusqu’à présent, un prestataire de sécurité informatique devait faire certifier ses produits TIC pays par pays lorsqu’il visait plusieurs marchés nationaux. Cette obligation était très coûteuse et parfois totalement ubuesque : certains schémas de certification faisaient doublon, d’autres étaient contradictoires… C’était un parfait exemple d’une complexité administrative totalement improductive.
En adoptant une politique commune de sécurité des données, l’Union Européenne va considérablement améliorer le niveau de protection des informations personnelles dans tous les Etats membres.
En ce sens, le Cybersecurity Act représente une vraie avancée positive ! En toute transparence, chaque type de certificat de sécurité européen affichera son niveau d’assurance :
- élémentaire : à ce degré limité de fiabilité, les prestataires pourront effectuer eux-même l’évaluation de conformité et n’auront qu’à effectuer une simple procédure déclarative.
- substantiel : cette certification va attester d’un niveau satisfaisant de fiabilité (protection contre les incidents connus, résistance aux cyberattaques avec des moyens limités).
- ou élevé : à ce stade, la procédure est ultra-rigoureuse, notamment concernant les exigences liées aux tests de sécurité car il s’agit de protéger des produits et des services sensibles (ex : des puces électroniques).
Les particuliers, les entreprises et les collectivités pourront ainsi identifier beaucoup plus facilement les outils et solutions adaptés en fonction du degré de sensibilité des informations personnelles ou professionnelles à protéger.
Attention tout de même : l’ENSIA n’a toujours aucun pouvoir de contrôle concernant les décisions prises au niveau des pays membres par rapport à la vérification de la certification. Chaque Etat désignera sa propre autorité qui devra toutefois être indépendante à tous les niveaux (organisation, financement, prise de décision…). L’ENSIA se chargera ensuite de superviser l’ensemble.
L’avis de Laurent Brault
Avec le Cybersecurity Act, l’Europe va confirmer sa position de pionnière et son leadership international en matière de cybersécurité. Guillaume Poupard, le Directeur Général de l’Anssi (Agence nationale pour la sécurité des systèmes d’information), s’est déjà félicité de la mise en place de cet outil, qu’il estime utile pour protéger à la fois les citoyens et les industries de la France.
La mise en place d’un niveau de sécurité européen est une bonne chose à condition que, comme annoncé, cela ne vienne pas s’ajouter comme une couche supplémentaire (nationale, européen), ni générer de surcoûts.
Autre point très important, la mise en application ne doit pas s’apparenter à une agglomération des systèmes nationaux existants, mais bien devenir une seule vision globale de la « Cybersecurity ».