tiero - Fotolia
Cybersécurité : l’idée de labélisation et de certification fait son chemin en Europe
Il s’agit non seulement de fournir un label de confiance cohérent d’un bout à l’autre de l’Union Européenne pour les solutions de sécurité informatique, mais aussi d’imposer certaines bases de sécurité aux produits connectés grand public.
La stratégie de cybersécurité européenne doit être revue en septembre. C’est dans ce cadre, ainsi que dans celui du marché unique du numérique, que Bruxelles apparaît avancer vers une approche duale de labélisation et de certification. Andrus Ansip, vice-président de la Commission européenne, a eu l’occasion de l’évoquer à plusieurs reprises.
En février dernier, il estimait notamment qu’il conviendrait de mettre en place des schémas de certification pour les objets connectés « afin de fournir un niveau minimum d’authentification sécurisée ». Depuis, l’agence européenne pour la sécurité de l’information et des réseaux (Enisa), a exprimé sa position en faveur d’une telle démarche, après consultation d’Infineon, de NXP et de STMicroelectronics, notamment. Fin juin, Andrus Ansip a confirmé sa position à l’occasion de la conférence annuelle de Chatham House. De quoi laisser entrevoir une évolution que Bruce Schneier décrivait comme inévitable quelques semaines plus tôt.
EU certification & labelling would boost online trust, confidence, ensure interoperability of #cybersecurity products and services #CHCyber
— Andrus Ansip (@Ansip_EU) June 26, 2017
Mais il y a plus. Andrus Ansip apparaît également comme un fervent soutien de l’idée d’une démarche de labélisation à l’échelle européenne des produits de sécurité informatique. Déjà en début d’année, le vice-président de la Commission européenne relevait être « au courant d’initiatives nationales qui définissent des exigences strictes pour les IT des infrastructures traditionnelles, y compris des impératifs de certification ». Mais attention, pour lui, il convient d’éviter « les écarts d’interopérabilité » ou les différences d’exigences nationales susceptibles de morceler le marché unique européen.
Le fait est que la construction d’une Europe de la cybersécurité progresse. En fin d’année dernière, l’Agence nationale de la sécurité des systèmes d’information (Anssi) et son homologue allemand, le BSI, ont annoncé la création d’un label commun, European Secure Cloud.
Avec cette annonce, la France et l’Allemagne apportaient un début de concrétisation à leurs ambitions en faveur d’une Europe de la cybersécurité, poussée notamment par le couple. Fin janvier 2016, à l’occasion du FIC, Anssi et BSI avaient évoqué travailler à des mécanismes de « reconnaissance croisée » de leurs certifications et labélisations respectives. Une première étape apparaît aujourd’hui franchie.
Mais d’autres domaines pourraient être à terme concernés, comme les prestations de test d’intrusion ou encore les services de sécurité managés. L’Anssi travaille déjà à leur labélisation ; le BSI indiquait, en début d’année dernière, y réfléchir.
Accessoirement, la France était bien représentée à l’édition 2016 d’IT-SA, la grand messe annuelle de la cybersécurité qui se déroule chaque automne à Nuremberg, notamment grâce à Hexatrust. L’occasion de la signature d’un partenariat avec le conseil de cybersécurité allemand, une association locale créée en 2012. Pour l’heure, le club français des PME de la sécurité informatique ne figure pas parmi les exposants de l’édition 2017 du salon. Mais Conscio Technologies, IDnomic, Stormshield Systancia, TheGreenBow ou encore Wallix doivent répondre présent.