Certification européenne – Bilan de l’année écoulée et perspectives pour 2023
Incarnant son rôle d’Autorité nationale de certification de cybersécurité (ANCC), l’ANSSI met en place ses premiers schémas de certification européen EUCC, dans le cadre du Cybersecurity Act CSA.
Schémas de certification
Trois schémas de certification sont en cours d’élaboration. Le plus avancé est le schéma EUCC (EU Common Criteria), dont une version de l’acte d’exécution est attendue au plus tôt par la France. Parallèlement, les travaux ont démarré sur la transposition des groupes de travail du SOG-IS afin d’organiser et de pérenniser la maintenance des différents documents techniques nécessaires à la mise en œuvre du schéma.
Le schéma EUCS (EU Cloud Services) fait l’objet d’un travail de normalisation des exigences techniques au sein du CEN/CENELEC. Des discussions et consultations sont toujours en cours sur le sujet de la protection des données hébergées vis-à-vis des lois à portée extraterritoriale. Il s’agit là d’un enjeu essentiel, que l’ANSSI a porté aux côtés de plusieurs Etats membres ces derniers mois, et ceci en cohérence avec le référentiel SecNumCloud.
Enfin, la première phase des travaux sur le futur schéma EU5G a été achevée fin 2022. La deuxième phase aura notamment pour but de mettre à niveau le schéma NESAS opéré par la GSMA pour le rendre compatible avec les exigences du Cybersecurity Act, et d’implémenter les processus nécessaires pour optimiser la certification des cartes de type eUICC selon le schéma EUCC. La possible intégration dans la certification des éléments eUICC des briques de base nécessaires à la mise en œuvre d’un wallet de confiance pour l’identité numérique, en réponse à l’approche générale du conseil sur la révision du règlement eIDAS, constituera également un axe de travail pour 2023.
L’ANSSI dans son rôle d’Autorité nationale de certification de cybersécurité (ANCC)
Avec l’adoption prochaine du premier schéma de certification EUCC dans le cadre du Cybersecurity Act, l’ANSSI prépare activement sa mise en œuvre, afin d’être en mesure de notifier courant 2023 les organismes d’évaluation de la conformité (tant au niveau de l’évaluation que de la certification). Cela nécessite notamment leur accréditation par l’organisme national d’accréditation, le COFRAC, avec lequel l’ANSSI travaille étroitement pour l’élaboration d’un programme d’accréditation dédié. L’enjeu pour tous les acteurs de ce premier schéma est d’être prêts collectivement pour émettre les premiers certificats EUCC en temps et en heure.
Un site internet dédié aux missions de l’ANCC sera également mis en ligne courant 2023.
Pour en savoir plus
L’ENISA a engagé des actions de communication et de dissémination afin de préparer les acteurs européens à la mise en œuvre de la certification de cybersécurité au niveau communautaire.
Une vidéo ainsi qu’une infographie de présentation de la certification européenne ont ainsi été récemment publiées : European Cybersecurity Certification - All you need to know - YouTube
Enfin une Foire aux questions (en anglais) est également disponible : EU Cybersecurity Certification - FAQ — ENISA (europa.eu)
Contribuer à la mise en place de la certification européenne
Si votre société est active dans l’évaluation ou la certification de cybersécurité ou souhaite le devenir sur l’un des schémas en cours d’élaboration, vous pouvez manifester votre intérêt par courriel à l’adresse certification-eu@ssi.gouv.fr