Concurrence exacerbée de la Chine et des États-Unis, conflit russo-ukrainien qui s’étend jusque dans le cyberespace : en première ligne face à ces dangers, la cybersécurité européenne avance encore en ordre dispersé. Les certifications de l’UE pourront-elles y remédier, voire servir d’outil de puissance européenne ? Éléments de réponse avec Jean-Pierre Quémard, membre du bureau de l’ACN.

La guerre est à nos portes… Et à nos backdoors : « lors du conflit en Ukraine, il est apparu évident que le cyberespace était devenu une nouvelle zone d’affrontement », rappelle Jean-Pierre Quémard, CEO de KAT et membre du bureau de l’ACN. Le conflit, notamment dans ses premières phases, s’est en effet également joué dans le cyberespace. Un front de plus pour les entreprises du secteur alors que selon l’ONU, la cybercriminalité a crû de 600% pendant la pandémie de covid-19.

Les certifications européennes en matière de cybersécurité constituent-elles une réponse à cette menace croissante ? « La certification des produits n’est pas la seule réponse, mais elle garantit la confiance dans les solutions déployées », souligne le CEO de KAT, avant d’ajouter : « Le renseignement sur l’évolution de la menace, la communication en temps utile des vulnérabilités, la sensibilisation et la formation des utilisateurs sont également des réponses face à la menace et peuvent faire l’objet de certifications. »

Longtemps attendu par les professionnels et finalement adopté en juin 2022, le Cybersecurity Act de l’UE « définit un cadre européen de certification de cybersécurité pour harmoniser à l’échelle européenne les méthodes d’évaluation et les différents niveaux d’assurance de la certification », comme le soulignait l’Anssi lors de la publication de ce texte.

Garantir « la confiance dans les produits »

Depuis, les travaux avancent, comme en témoigne la Cybersecurity Certification Conference organisée par l’ACN, le 11 janvier 2022, avec la participation de représentants de l’Anssi et de l’ENISA. Et c’est une nécessité pour que l’Europe fasse entendre sa voix sur ce terrain, détaille le membre du Bureau de l’ACN :

« La souveraineté numérique nécessite de mettre en place un corpus de process supportés par des standards mondiaux ou européens qui vont assurer et garantir la confiance dans les produits, les systèmes et les services mis en œuvre. La certification est l’un des moyens disponibles qui vont permettre d’analyser, de vérifier et de certifier les performances de sécurité dans un environnement opérationnel donné. »

Si la dimension technique ici évoquée fait l’objet de débats qui n’ont rien d’insoluble, trouver un accord sur les implications politiques de cette souveraineté est plus ardu. En effet, la Commission européenne – s’inspirant du modèle français SecNumCloud – a demandé à l’ENISA d’inclure dans le plus haut niveau de certification des garanties d’immunité vis-à-vis des juridictions étrangères. En clair : les services stratégiques d’un État membre devraient passer par des sociétés non seulement basées en Europe, mais de droit européen. Elles ne pourraient donc avoir recours à des services cloud américains, soumis à l’extraterritorialité du droit états-unien.

Cloud, le casse-tête de la souveraineté européenne

Levée de boucliers d’une partie des États membres, mais aussi de certains experts de l’ENISA. Outre le fait de devoir potentiellement se priver de services performants, les critiques de cette approche, notamment Berlin, soulignent que la Commission a introduit une notion politique dans un texte à vocation technique. Alors que rien n’est encore tranché, en décembre 2022, 13 associations professionnelles ont aussi exprimé leur désaccord vis-à-vis de ce projet. Sans surprise, les géants américains du secteur sont membres de la plupart d’entre elles. Washington y voit de son côté une mesure protectionniste.

En attendant la résolution de cet épineux débat, d’un point de vue technique, l’autonomie stratégique du continent est en marche, souligne Jean-Pierre Quémard. Et l’UE s’en donne les moyens. Pour créer et développer un espace favorable aux acteurs de la cyber européenne, « il est nécessaire, au niveau européen, de mettre en place une politique de certification unique qui assurera la compatibilité et la reconnaissance au niveau européen des certifications. Ceci pour éviter d’imposer 27 certifications, une pour chaque État membre, et mettre en place un marché unique européen de taille significative par rapport aux grands acteurs mondiaux. »

De fait, les géants de l’Internet, tant dans les infrastructures que les services, se concentrent aux États-Unis et en Chine. Ils imposent à l’Europe une concurrence de plus en plus vive voire agressive.

Face à la Chine et aux USA, « la certification, un facteur d’excellence »

Dans ce contexte difficile, les certifications européennes peuvent-elles être perçues en tant qu’outils d’influence et de rayonnement pour les entreprises de la confiance numérique du vieux continent ? Pas exactement, selon Jean-Pierre Quémard : « Il ne s’agit pas pour la certification d’être un vecteur d’influence mais plutôt un facteur d’excellence et d’avantage compétitif. En effet, la certification européenne, par sa transparence, sa reconnaissance globale et l’expertise reconnue des industriels au niveau mondial, peut être perçue comme indépendante des grands acteurs mondiaux, typiquement, la Chine et les États-Unis. »

Si elle assure des débouchés plus larges aux acteurs du marché et donne confiance aux consommateurs, la certification n’est évidemment pas la panacée. Les services en ligne, quels qu’ils soient, font face à des attaques de plus en plus sophistiquées de groupes criminels indépendants, mais aussi adossés à des États, voire provenant directement d’États.

Face à des menaces complexes, la réponse doit elle aussi se faire en profondeur, analyse le membre du bureau de l’ACN : « Dans ces contextes, le renseignement est crucial, ainsi que la bonne coopération entre les différents acteurs politiques, étatiques et industriels. La coopération et la coordination au niveau européen sont également nécessaires pour assurer la meilleure réponse possible face à une menace qui évolue très vite. À ce titre, les réglementations européennes eIDAS, NIS2, CSA, CRA, etc. ainsi que la création de l’ENISA sont des composantes essentielles de la souveraineté européenne. »

Quand les nations reprennent la main

Il existe pourtant des domaines stratégiques où la souveraineté reste nationale : la protection des intérêts vitaux de chaque État, notamment face à un espionnage qui est le fait aussi bien d’adversaires que d’alliés. Les écoutes par la NSA de Jacques Chirac, Nicolas Sarkozy et François Hollande et d’autres dirigeants européens, dont Angela Merkel, l’illustrent.

« Il est clair que le renseignement est l’une des composantes essentielles d’une politique nationale de cybersécurité. D’où la nécessité de définir des domaines de souveraineté prioritaires (cloud souverain, communications sécurisées, identité numérique, infrastructures critiques…) pour lesquels une certification de niveau élevé sera requise. Ce domaine relève de la Défense nationale et du SGDSN et est pris en compte en particulier par la LPM (loi de programmation militaire) », détaille Jean-Pierre Quémard.

C’est notamment ce domaine qui est visé par la polémique sur le cloud souverain, déjà évoquée. Un champ d’application finalement limité au regard de l’ensemble des applications couvertes par les certifications européennes, souligne le CEO de KAT : « La couverture potentielle de la certification est très vaste et il est important de définir des standards horizontaux qui supporteront différents domaines verticaux d’application. Par exemple, une certification IoT peut couvrir la santé, l’automobile, les transports l’énergie, les communications, etc. »

Cybersecurity Act vs Cyber Resilience Act

Et si le grand public pense essentiellement aux services, les professionnels savent bien que derrière l’apparente dématérialisation de l’univers numérique se cachent des équipements bien tangibles. Ils entrent aussi dans le champ d’application des certifications européennes : « Les composants de base (microcontrôleurs, capteurs, actuateurs…) pourront recourir à la même certification. C’est ce qui est développé par le CEN-CENELEC avec le standard SESIP et l’ETSI avec l’EN 303 645. Cela permet de garantir un niveau minimum de confiance et d’élever globalement le niveau de résistance aux attaques cyber. C’est le sens recherché par la directive CRA (Cyber Resilience Act) en cours de rédaction à la Commission européenne », rappelle le membre du bureau de l’ACN.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.