Le Parlement européen a arrêté le 12 mars 2019 sa position en vue de l’adoption du Règlement sur la cybersécurité. Ce règlement relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications (1), abroge le règlement (UE) n° 526/2013.
Ce règlement est également dénommé Cybersecurity Act.
Le Règlement sur la cybersécurité devrait être formellement adopté dans les prochains jours par le Conseil. En effet, si le Conseil approuve la position du Parlement européen, le Règlement sur la cybersécurité sera adopté dans la formulation qui correspond à la position du Parlement européen.
Base juridique du Règlement sur la cybersécurité et principe de subsidiarité
En France, le Sénat s’est prononcé par une résolution du 6 décembre 2017 sur la conformité au principe de subsidiarité du Règlement sur la cybersécurité. Il avait considéré, s’agissant des compétences des Etats membres en matière de cybersécurité, que la cybersécurité, de par l’importance qu’elle revêt pour la sécurité des États membres, relevait par plusieurs aspects de la souveraineté nationale. Le Sénat avait souligné que les États membres devaient conserver, d’une part, « leur faculté d’adopter des normes et des standards apportant un plus haut niveau de sécurité ». D’autre part, les Etats membres devaient également conserver « toute leur place dans le nouveau dispositif européen, fondée sur leur participation volontaire à une cybersécurité européenne ». Le Parlement européen et le Conseil ont considéré que les objectifs du Règlement sur la cybersécurité ne pouvaient pas être atteints de manière suffisante par les États membres, mais pouvaient l’être mieux au niveau de l’Union ; celle-ci pouvant prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne.
Les principes de subsidiarité et de proportionnalité sont bien remplis par le Règlement sur la cybersécurité.
Objectifs du Règlement sur la cybersécurité
Le Règlement sur la cybersécurité entrera en vigueur 20 jours après sa publication au Journal officiel de l’Union européenne. Ce règlement, a déjà fait l’objet d’un accord informel avec les États membres. Le Règlement sur la cybersécurité comporte 101 considérants, 69 articles et une annexe unique définissant les exigences applicables aux organismes d’évaluation de la conformité.
Le Règlement sur la cybersécurité poursuit l’objectif global de prendre toutes les mesures nécessaires pour améliorer la cybersécurité dans l’Union. Les réseaux et systèmes d’information, les réseaux de communication, les produits, services et appareils numériques utilisés par les citoyens, les organisations et les entreprises — y compris les petites et moyennes entreprises (PME), jusqu’aux opérateurs d’infrastructures critiques — doivent être mieux protégés contre les cybermenaces.
Le Règlement sur la cybersécurité fixe 6 objectifs :
- la poursuite du renforcement des capacités et de l’état de préparation des États membres et des entreprises, ainsi qu’une amélioration de la coopération, du partage d’informations et de la coordination entre les États membres et les institutions, organes et organismes de l’Union ;
- l’augmentation au niveau de l’Union, des capacités susceptibles de compléter l’action des États membres, notamment dans les cas d’incidents et de crises transfrontières majeurs, tout en prenant en compte l’importance de préserver et de renforcer les capacités nationales de réaction en cas de cybermenaces de tous types ;
- la sensibilisation des citoyens, organisations et entreprises aux questions de cybersécurité ;
- le renforcement de la confiance des consommateurs par le recours à la certification à l’échelle de l’Union prévoyant des exigences et des critères d’évaluation communs en matière de cybersécurité dans l’ensemble des marchés nationaux et des secteurs ;
- l’encouragement des organisations, fabricants et fournisseurs à mettre en œuvre la sécurité des produits et services TIC dès les phases de conception et de développement et durant tout le cycle de vie du produit ou service ;
- la généralisation de la sécurité par défaut et de la sécurité dès la conception pour les produits, services ou processus TIC sans que cette sécurité ne nécessite une compréhension des détails techniques spécifique ou un comportement non intuitif de l’utilisateur.
Mandat permanent à l’ENISA et renforcement de son rôle de au sein de l’Union
L’ENISA (Agence de l’Union Européenne pour la cybersécurité) mise en place par le Règlement sur la cybersécurité devrait succéder à l’ENISA établit par le règlement (UE) n° 526/2013 (2). L’ENISA est confortée dans son rôle et ses missions par un mandat permanent au sein de l’Union. Dans le cadre du Règlement sur la cybersécurité, la principale tâche de l’ENISA est désormais de promouvoir la mise en œuvre du cadre juridique et notamment la mise en œuvre effective des exigences de la directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (3) et de l’ensemble des instruments juridiques pertinents comportant des aspects liés à la cybersécurité.
L’ENISA se voit conférer par son mandat permanent le rôle de coopérer avec les organisations internationales ainsi qu’au sein des cadres internationaux de coopération dans le domaine de la cybersécurité. L’ENISA doit ainsi contribuer à cette coopération internationale avec les organisations OCDE, OSCE et l’OTAN. Les activités de coopération avec les organisations internationales devront se dérouler dans le respect des principes d’inclusion, de réciprocité et d’autonomie décisionnelle de l’Union et sans préjudice du caractère particulier de la politique de sécurité et de défense de tout Etat membre.
Cadre européen de certification de cybersécurité : premier dispositif de certification de sécurité des produits, services et processus TIC.
La certification de cybersécurité joue un rôle crucial dans l’amélioration de la sécurité des produits, services et processus TIC mais aussi dans le renforcement de la confiance des utilisateurs de ces produits et services. Une des lacunes affectant les entreprises européennes sur le marché de la cybersécurité est en effet le manque de solutions interopérables (grâce à des normes techniques) ainsi que des pratiques et dispositions de certification à l’échelle de l’Union pouvant être concurrentielles au niveau mondial.
L’ambition du Règlement sur la cybersécurité est de créer le premier cadre européen de certification de cybersécurité afin de garantir que les produits, les processus et les services vendus dans les pays de l’UE soient conformes aux normes de cybersécurité.
Schémas européens de certification de cybersécurité et niveaux d’assurance pour les produits et services TIC.
Afin de garantir qu’un produit ou service TIC satisfait aux exigences de sécurité d’un schéma européen de certification de cybersécurité, le futur schéma européen de certification de cybersécurité devra préciser les différents niveaux d’assurance pour les certificats de cybersécurité européens.
Les exigences de sécurité correspondant à chaque niveau d’assurance seront définies dans le Schéma européen de certification de cybersécurité. Ce dernier pourra comporter un ou plusieurs niveaux d’assurance pour les produits, services et processus TIC (niveau élémentaire, substantiel ou élevé).
Pour chaque niveau d’assurance, les produits ou services TIC devront comporter des fonctions sécurisées : une configuration sécurisée prête à l’emploi, un code informatique signé, une mise à jour sécurisée ainsi que la limitation de l’exploitation de failles et des protections complètes de type « full stack ».
En particulier, pour le niveau d’assurance dit « élémentaire » l’évaluation devra porter sur un certain nombre de composants d’assurance tels que l’évaluation de la conformité à la documentation technique.
Les principaux objectifs de sécurité des schémas européens de certification de cybersécurité sont :
- la protection des données stockées, transmises ou traitées au cours de l’ensemble du cycle de vie du produit, service ou processus TIC ;
- la protection de ces données contre la destruction accidentelle ou non autorisée au cours de l’ensemble du cycle de vie du produit, service ou processus TIC ;
- l’identification documentée des dépendances et vulnérabilités connues et la vérification que les produits, services ou processus TIC ne contiennent pas de vulnérabilités connues ;
- la mise en œuvre des principes de sécurité par défaut et dès la conception des produits, services et processus TIC.
L’ENISA devra également dans le cadre de son mandat permanent consulter les organismes de normalisation et en particulier les organismes de normalisation européens, notamment lors de l’élaboration des schémas européens de certification de cybersécurité. Un groupe de travail ad hoc est jugé nécessaire pour la préparation d’un schéma européen de certification de cybersécurité.
Un site internet dédié sera tenu à jour par l’ENISA. Il fournira des informations et une publicité sur les schémas européens de certification de cybersécurité, les certificats de cybersécurité européens et les déclarations de conformité de l’UE.
Auto-évaluation de la conformité limitée sous la responsabilité du fabricant ou fournisseur du produit, service TIC.
Le futur schéma européen de certification de cybersécurité pourra permettre l’auto-évaluation de la conformité sous la seule responsabilité du fabricant ou du fournisseur du produit, service ou processus TIC. Cette auto-évaluation limitée n’est autorisée que pour les produits, services ou processus TIC qui présentent un risque faible correspondant au niveau d’assurance élémentaire.
Création d’un groupe des parties prenantes pour la certification de cybersécurité.
Un groupe des parties prenantes devrait être institué afin d’aider l’ENISA et la Commission pour la certification de cybersécurité. Ce groupe devrait être composé de membres représentant le secteur de la cybersécurité, tant du côté de la demande que du côté de l’offre de produits et services TIC.
Préalablement à la mise en place de ce groupe, l’ENISA devra établir des règles en matière de prévention et de gestion des conflits d’intérêts mais aussi assurer l’accès du public aux documents prévu par le règlement (CE) n° 1049/2001 du 30 mai 2001 (4).
Autorités nationales de certification de cybersécurité
Chaque Etat membre a l’obligation aux termes du Règlement sur la cybersécurité de désigner une ou plusieurs autorités nationales de certification de cybersécurité. Les Etats membres devront veiller à ce que les activités des autorités nationales de certification de cybersécurité liées à la délivrance de certificats de cybersécurité européens soient strictement distinctes de leurs activités de supervision dans ledit Etat membre.
En France, l’ANSSI est l’autorité nationale pour la certification de sécurité de produits. L’ANSSI est chargée d’instruire les certifications selon les directives données par le comité directeur de la certification. En particulier, la certification Critères Communs bénéficie d’une reconnaissance européenne et mondiale via les accords du SOG-IS et du CCRA. La reconnaissance de la CSPN à l’échelle européenne constitue un objectif à court ou moyen terme. La certification est l’attestation de la robustesse d’un produit, basée sur une analyse de conformité et des tests de pénétration réalisés par un évaluateur tiers sous l’autorité de l’ANSSI, selon un schéma et un référentiel adaptés aux besoins de sécurité des utilisateurs et tenant compte des évolutions technologiques.
L’ensemble du processus de certification est géré au sein de l’ANSSI par le Centre de Certification National.
Droit d’introduire une réclamation
Toute personne physique ou morale disposera en vertu de l’article 63 du Règlement sur la cybersécurité du droit d’introduire une réclamation auprès soit de l’émetteur d’un certificat de cybersécurité européen soit directement auprès de l’autorité nationale de certification de cybersécurité si le certificat de cybersécurité européen a été délivré par un organisme d’évaluation de la conformité.
Droit à un recours juridictionnel effectif
L’article 64 du Règlement sur la cybersécurité instaure un droit à un recours juridictionnel effectif pour les personnes physiques ou morales, outre tout recours administratif ou tout autre recours non juridictionnel.
Ce droit à un recours juridictionnel effectif concerne :
- les décisions prises par l’autorité nationale de certification de cybersécurité ou tout organisme d’évaluation de la conformité ;
- l’absence de réaction à une réclamation introduite auprès de l’autorité nationale de certification de cybersécurité ou de l’organisme d’évaluation de la conformité.
Sanctions en cas de violation du Règlement sur la cybersécurité
En cas de violation des dispositions du Règlement sur la cybersécurité et des schémas européens de certification de cybersécurité, les Etats membres déterminent les sanctions applicables ; étant précisé que ces sanctions doivent être effectives, proportionnées et dissuasives. Les Etats membres doivent informer sans retard la Commission du régime des sanctions applicables ainsi que de toute modification à ce régime.
Protection des données à caractère personnel
Toutes les opérations de traitement de données à caractère personnel effectuées par l’ENISA sont soumises aux dispositions du Règlement du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données.
Résolution sur les menaces liées à la présence technologique chinoise
Dans le prolongement de sa proposition de résolution sur le Règlement sur la cybersécurité, le Parlement européen a également adopté une résolution concernant les menaces pour la sécurité liées à la pression technologique croissante de la Chine dans l’Union.
Cette résolution fixe 5 objectifs majeurs :
- élaborer une stratégie et des plans d’investissements publics afin de réduire la dépendance de l’Europe à l’égard de technologies étrangères dans le domaine de la cybersécurité, des TIC, de l’intelligence artificielle et de l’économie numérique ;
- concernant l’accès d’entreprises de pays tiers aux futurs services de télécommunication et de 5G, les Etats membres devraient fonder leurs décisions sur des expertises techniques et une évaluation rigoureuse des risques ainsi que sur les engagements que prennent ces entreprises et les garanties qu’elles apportent au regard du respect du droit à la vie privée des citoyens de l’Union ainsi que de la prévention de l’espionnage et du sabotage technologique, plutôt que sur les pressions exercées par l’administration américaine ;
- élaborer un système multilatéral de gouvernance de la cybersécurité dans l’optique d’instaurer en la matière un cadre réglementaire et stratégique au niveau des Nations unies ;
- mettre en œuvre les mécanismes de coopération instaurés par la directive sur la sécurité des réseaux et des systèmes d’information ;
- toutes les entreprises qui fournissent des technologies et des services dans l’Union doivent se conformer au droit de l’Union et des États membres et doivent répondre de toute infraction à la législation sur la protection des données et la cybersécurité.
Didier Gazagne
Lexing BU Cybersécurité Cyberdéfense
(1) Résolution législative du Parlement européen du 12 mars 2019 sur la proposition de règlement du Parlement européen et du Conseil relatif à l’ENISA, Agence de l’Union européenne pour la cybersécurité, et abrogeant le règlement (UE) nº 526/2013, et relatif à la certification des technologies de l’information et des communications en matière de cybersécurité (Règlement sur la cybersécurité) (COM(2017)0477 – C8-0310/2017 – 2017/0225(COD).
(2) Règlement (UE) n° 526/2013 du Parlement européen et du Conseil du 21 mai 2013 concernant l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) et abrogeant le règlement (CE) n° 460/2004.
(3) Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union.
(4) Règlement (CE) N° 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l’accès du public aux documents du Parlement européen, du Conseil et de la Commission.