Le cadre de certification européen


Le règlement établit un cadre européen de certification de cybersécurité pour harmoniser à l’échelle européenne les méthodes d’évaluation et les différents niveaux d’assurance de la certification, au sein duquel l’ENISA trouve toute sa place. Les certificats délivrés bénéficieront d’une reconnaissance mutuelle au sein de l’Union européenne (UE).

La certification de cybersécurité est l’attestation de la robustesse d’un produit réalisée par un évaluateur tiers, selon un schéma* et un référentiel adaptés aux besoins de sécurité des utilisateurs et tenant compte des évolutions technologiques.

Le cadre européen de certification définit une gouvernance pour l’adoption de schémas de certification ainsi que des processus de certification.

Le texte précise à cet égard :

  • les rôles et responsabilités respectives des Etats membres, notamment la désignation d’une autorité nationale en matière de certification, et de l’Union européenne (Commission européenne et ENISA) ;
  • la portée de la certification en définissant des niveaux d’assurance.

Modalités d’adoption d’un schéma de certification

Le règlement détaille les méthodes d’adoption pour les futurs schémas européens de certification.
Cinq étapes principales sont nécessaires :

  1. Le programme de travail : la Commission européenne définit un programme de travail après avoir consulté les Etats membres et les parties prenantes (secteur privé, associations de consommateurs, académies, organismes de normalisation, organismes d’accréditation, organismes d’évaluation de la conformité, CNIL et ses homologues).
  2. La requête : la Commission européenne confie à l’ENISA la rédaction d’un schéma sur la base du programme de travail.
  3. La rédaction : l’ENISA prépare le schéma candidat en s’appuyant sur l’expertise des Etats membres et des parties prenantes constitués en groupe de travail ad hoc.
  4. La revue technique : une fois rédigée, la proposition de schéma est transmise au Groupe des autorités nationales qui peut délivrer un avis technique.
  5. La validation : le schéma est ensuite transmis à la Commission pour l’adoption définitive des schémas sous la forme d’actes d’exécution.


Processus ordinaire d'adoption d'un schéma de certification

Processus de certification selon le niveau d’assurance

Chaque schéma définira un ou plusieurs niveaux d’assurance avec sa méthodologie d’évaluation associée.

Le processus de certification ainsi que la méthodologie d’évaluation différeront en fonction du niveau d’assurance visé. Trois niveaux sont définis par le règlement :

  • Niveau élémentaire : Produits destinés au grand public, non critiques
    • ce niveau cible typiquement des objets grand public (ex : Internet des objets – IOT) ;
    • ce niveau permet l’auto-évaluation des produits par leur développeur ;
  • Niveau substantiel :
    • Ce niveau cible le risque médian, qui peut par exemple intéresser les assureurs dans leur couverture du risque des services (ex : informatique en nuage – Cloud) ;
    • ce niveau repose sur des tests de conformité effectués par un tiers de confiance accrédité (le Conformity Assessment Body – CAB) ;
  • Niveau élevé :
    • Ce niveau cible les solutions pour lesquelles il existe un risque d’attaques impliquant des compétences ou des ressources « significatives » (ex : véhicules ou dispositifs médicaux connectés) ;
    • Ce niveau ajoute au précédent l’obligation de faire effectuer, par un tiers de confiance compétent, des tests de pénétration ;
    • la certification est obligatoirement délivrée par un organisme public, qui sera le garant des compétences techniques nécessaires pour les tests de pénétration.

A titre d’illustration, en France, l’ANSSI a mis en place depuis plus de 20 ans un schéma de certification intitulé Certification Critères Communs. Selon les critères du règlement, ce schéma s’inscrit au niveau d’assurance « élevé ».

Les acteurs du processus certification

Le cadre européen de certification de cybersécurité impliquera plusieurs acteurs dont le rôle est défini dans le règlement européen:

  • National Cybersecurity Certification Authority (NCCA) : il s’agit des futures « Autorités nationales de certification de cybersécurité ». Leurs missions sont listées à l’article 58 du règlement.
  • European Cybersecurity Certifcation Group (ECCG) : il s’agit du Groupe européen de certification de cybersécurité, une enceinte qui réunit les NCCAs. Ses missions sont définies à l’article 62 du règlement.
  • Conformity Assessment Body (CAB) : il s’agit des organismes d’évaluation de la conformité. Leurs missions sont définies à l’article 60 du règlement.
  • Accreditation Body : il s’agit de l’organisme national d’accréditation (le COFRAC en France).

* Un schéma de certification comprend l’ensemble des acteurs (NCCA, CABs et laboratoires), ainsi que le référentiel documentaire qui définit les règles opérationnelles de certification.