Secu
L’EUCC adopté par la Commission européenne
Par Laurent Delattre, publié le 05 février 2024
Dans sa quête de souveraineté et d’un espace numérique européen plus sûr, l’Europe, via sa Commission, vient d’adopter son premier schéma de certification de cybersécurité, l’EUCC. En attendant l’EUCS dédié au Cloud…
Dans un paysage très dynamique de menaces en matière de cybersécurité, nous nous efforçons d’accroître notre cyber-résilience collective. Aujourd’hui, nous lançons un nouveau cadre EUCC pour garantir la cybersécurité des produits que nous utilisons dans certains des environnements les plus sensibles, tels que les routeurs et les cartes d’identité. Nous voulons que nos citoyens, nos entreprises et le secteur public puissent faire confiance aux produits dont ils dépendent pour sécuriser leurs réseaux et fournir des services publics sensibles…
C’est en ces termes que Thierry Breton a officialisé l’adoption le 31 janvier de l’EUCC par la Commission européenne. L’EUCC, c’est un peu la version européannisée des fameux « Common Criteria » de la norme internationale ISO/IEC 15408 (qui date de 1999).
EUCC… European Union Common Criteria Cybersecurity Certification Scheme… Ce cadre de certification en cybersécurité établi par l’Union européenne dans le contexte du Cybersecurity Act de 2019, vise à fournir un ensemble harmonisé de règles et procédures, pour certifier la cybersécurité des produits matériels et logiciels ainsi que des services et processus informatiques au sein de l’UE.
L’objectif de l’EUCC est d’aider les organisations à démontrer leur conformité avec des normes de cybersécurité reconnues, augmentant ainsi la confiance des clients et partenaires. Ce schéma de certification vise à créer un marché unique pour les produits et services de cybersécurité, facilitant ainsi le commerce et la coopération transfrontaliers dans l’UE.
À LIRE AUSSI :
Pour les DSI et les RSSI, cette annonce est importante car ils vont désormais disposer d’un vrai framework reconnu et officiel pour s’assurer que les produits et services de leur entreprise sont conformes au Cybersecurity Act. Dit autrement, ils vont aussi désormais devoir prendre en compte les exigences de l’EUCC dans la conception des services, l’analyse des risques et la gestion de la cybersécurité.
En tant qu’Autorité Nationale de Certification de Cybersécurité (ANCC), l’ANSSI sera en charge de délivrer les certifications pour le niveau élevé et de surveiller la bonne application du schéma EUCC en France. L’agence française indique cependant que les certificats SOG-IS existants pourront être réévalués en certificats EUCC dès lors que les nouvelles exigences seront respectées.
Le schéma EUCC doit entrer en vigueur 20 jours après sa publication dans le journal officiel de l’UE (ce qui ne saurait tarder). L’ANSSI estime que les premiers certificats pourraient être délivrés dans un an.
Voilà qui bien évidemment vient ajouter toujours plus de complexité aux schémas de conformité IT et toujours plus de pression aux DSI. Mais un tel cadre vise aussi à une saine harmonisation de standards jusqu’ici assez disparates, contribue à améliorer la cybersécurité des services en Europe et doit permettre d’accroître la confiance des entreprises clientes dans les offres et produits européens.
EUCC + EUCS + EU5G : 3 schémas pour unir la cyber-résilience européenne
L’EUCC est l’un des trois schémas de certification qui étaient ou sont en cours d’élaboration dans le cadre du Cybersecurity Act. Les deux autres sont :
– L’EUCS – European Union cybersecurity scheme for Cloud Services qui doit définir le schéma de certification des services Cloud en Europe et qui n’est autre que l’adaptation européenne du fameux SecNumCloud français,
– L’EU5G – European Union 5G Cybersecurity Certification Scheme qui vise à adapter le schéma NESAS de la GSMA afin de le rendre compatible avec le Cybersecurity Act et à officialiser un cadre de certification de cybersécurité pour la 5G, ses services et ses usages.
À LIRE AUSSI :
À LIRE AUSSI :