Reconnaissance mutuelle des certificats de sécurité entre France et Allemagne
Selon le protocole d’accord dont la signature vient d’être annoncée, l’Anssi reconnaîtra les certificats BSZ délivrés sous la vigilance de son homologue allemand, le BSI. Ce dernier reconnaîtra pour sa part les certificats CSPN.
Un pas de plus dans la construction d’une Europe de la cybersécurité. L’Agence nationale de la sécurité des systèmes d’information (Anssi) et son homologue allemand, le BSI, viennent d’annoncer la signature d’un accord de reconnaissance mutuelle des certificats de sécurité. Selon celui-ci, l’Allemagne reconnaîtra les certificats CSPN (Certification de sécurité de premier niveau) délivrés par les organismes de certification de l’Anssi, tandis que la France reconnaîtra les certificats BSZ délivrés outre-Rhin. Mais l’accord prévoit également des « échanges techniques réguliers sur la poursuite de l’harmonisation CSPN et BSZ ».
Dans un communiqué de presse, l’Anssi estime que « cet accord représente un pas supplémentaire vers l’harmonisation globale des schémas de certification ». Elle précise que « la norme européenne FiTCEM (Fixed Time Cybersecurity Evaluation Methodology for ICT products, prEN 17640), en cours d’élaboration, permettra d’étendre au niveau européen l’harmonisation de ces pratiques, notamment via la création d’un système européen de certification basé sur le Cybersecurity Act ». Ce dernier a été adopté par le Parlement européen mi-mars 2019, puis par le Conseil de l’Union européenne le 7 juin suivant.
À l’époque, Guillaume Poupard, directeur général de l’Anssi, insistait : « nous devons utiliser la certification comme un outil pour améliorer la compétitivité et protéger nos citoyens et nos industries ». Mais c’était loin d’être le début de ces efforts d’harmonisation à l’échelle européenne.
Ceux-ci, menés en s’appuyant notamment sur l’axe Paris-Berlin, avaient déjà été évoqués à l’occasion de l’édition 2015 du Forum international de la cybersécurité (FIC).
Lors d’une conférence de presse, Guillaume Poupard avait ainsi évoqué « une confiance très élevée » entre les deux pays, au point que l’une des difficultés serait de « définir les priorités ». Et de lancer un indice : la perspective d’une « consolidation de l’industrie européenne de la cybersécurité », à la condition de parvenir à « lever quelques barrières », notamment relatives aux intérêts économiques locaux.
L’idée était alors ouvertement affichée d’aboutir à des « critères communs de certification » et une reconnaissance réciproque de labels nationaux, à commencer, donc, par le label France Cybersecurity, afin de « construire un véritable marché européen de la cybersécurité ».
Un an plus tard, le sujet était de nouveau au menu du FIC. Guillaume Poupard et son homologue d’alors, Andreas Könen, indiquaient alors réfléchir à une « reconnaissance croisée » des certifications des produits, voire des prestations de tests d’intrusion, ou encore des services de sécurité managés.
Pour approfondir sur Cyberdéfense
-
EUCS : la CNIL défend la réintroduction des critères d’immunité aux lois extraterritoriales
-
Cloud de confiance : pourquoi l’USF pousse-t-elle les options S3NS et Bleu auprès de SAP
-
FIC 2021 : une édition sous le signe du collectif, à l’échelle européenne
-
Les organisations à l’affût des attaques par rebond