Denys Rudyi - Fotolia
Cybersécurité : déjà des résistances à l’idée d’une certification européenne
La commission sénatoriale des Affaires européennes refuse l’idée d’un guichet unique chargé de certification sous l’égide d’une Enisa qui n’aurait « aucune expertise en la matière ».
L’idée, pourtant appelée de leurs vœux par de nombreux acteurs économiques, a-t-elle déjà fait long feu ? Mi-septembre, Jean-Claude Juncker, président de la commission européenne, présentait son projet de règlement dotant l’agence européenne pour la sécurité des réseaux et des systèmes d’information (Enisa) d’un nouveau mandat, considérablement étendu, avec notamment une mission de création d’un cadre de certification européen pour les produits et services de cybersécurité.
Un véritable serpent de mer
La question n’est pas nouvelle et a été régulièrement soulevée. Le sujet d’une Europe de la cybersécurité était déjà au menu de l’édition 2015 du Forum International de la Cybersécurité (FIC). Un an plus tard, toujours à l’occasion du FIC, l’Agence nationale de la sécurité des systèmes d’information (Anssi) et son homologue allemand, le BSI, avaient évoqué travailler à des mécanismes de « reconnaissance croisée » de leurs certifications et labélisations respectives. Une première étape a été franchie en fin d’année dernière, quand l’Anssi et le BSI ont annoncé la création d’un label commun, European Secure Cloud.
Pour Laurent Hausermann, fondateur de Sentryo, « une vraie certification européenne serait un booster de marché pour les boîtes françaises et européennes ». Mais il va peut-être falloir encore attendre de longues années pour voir émerger une telle chose. Car les résistances au projet de la commission européenne n’ont pas tardé à se manifester.
La commission des Affaires européennes du Sénat vient ainsi de prendre position contre le projet. Certes, ses membres assurent « soutenir un renforcement des capacités européennes en matière de cybersécurité et la nécessité de disposer d’un cadre européen unique de certification ». Mais assurément pas avec l’Enisa aux commandes qui, selon la commission sénatoriale, « n’a aucune expertise en la matière ».
« Aucune expertise » de la certification
On peut être tenté de demander si l’Anssi affichait une posture différente, en 2015, lorsqu’a été publié le décret déterminant les procédures de qualification des produits et des services de confiance dans le cadre de la loi de programmation militaire adoptée fin 2013. Mais la question semble ailleurs. Car pour les sénateurs, « l’action menée depuis plusieurs années par une majorité d’Etats membres, dont la France, a permis de faire de l’Europe une référence mondiale en termes de certification de cybersécurité », rien de moins.
Alors pour la commission du Sénat, il faut que « les autorités nationales de contrôle de la certification conservent leur légitime place au sein du futur processus de certification européen et qu’ils ne soient pas cantonnés à un rôle uniquement consultatif ».
Pas question donc de déshabiller une Anssi dont on se demande naturellement dans quelle mesure elle est intervenue dans le débat. Car, non, décidément, l’Enisa « ne dispose d’aucune expertise » et lui donner la responsabilité exclusive de la certification de cybersécurité en Europe « pourrait entraîner un affaiblissement » sur le Vieux Continent.