B. METTRE EN PLACE UN PROCESSUS DE CERTIFICATION DE CYBERSÉCURITÉ EXIGEANT ET SOUPLE
La certification est un processus complexe qui fait intervenir de nombreux acteurs. Le système repose sur un niveau de sécurité élevé et un processus qui garantit qu'il est respecté, comprenant trois acteurs principaux, le fournisseur de produits ou de services, le laboratoire chargé d'étudier ces derniers et l'autorité qui certifie : une autorité publique accrédite un organisme d'évaluation de la conformité- un laboratoire - pour qu'il détermine si une solution proposée par une entreprise (un service ou un produit) respecte des normes ou un cahier des charges prédéfinis, dans la plupart des cas. C'est l'intervention de l'organisme certificateur, indépendant et compétent, qui va donner sa valeur à la certification dite tierce partie. Dans certains cas, l'autorité publique peut effectuer elle-même la certification demandée.
La certification s'appuie sur des normes définies au niveau national ou international et, pour chaque type de solution, un système ou schéma s'applique. Ces derniers peuvent être proposés par les différents intervenants du secteur, publics ou privés, en fonction des besoins du marché et des évolutions technologiques. Plusieurs niveaux de certification peuvent être appliqués selon l'exigence demandée par le professionnel. Enfin, il convient de mentionner l'aspect volontaire de la démarche du professionnel qui va faire certifier son produit ou son service.
Dans le secteur de la cybersécurité, la certification a beaucoup progressé durant les dix dernières années. Pour l'ANSSI, « la certification est l'attestation de la robustesse d'un produit, basée sur une analyse de conformité et des tests de pénétration réalisés par un évaluateur tiers sous l'autorité de l'ANSSI, selon un schéma et un référentiel adaptés aux besoins de sécurité des utilisateurs et tenant compte des évolutions technologiques » . Les certificats émis par l'ANSSI attestent que les produits certifiés sont conformes à une spécification technique appelée cible de sécurité, qui peut elle-même être certifiée conforme à un cahier des charges appelé profil de protection.
En outre, 14 pays européens (13 États membres, dont la France et la Noprvège) ont mis en place un processus de certification de cybersécurité des produits et des services du numérique, sur la base de normes internationales communément admises et mutuellement reconnues, appelé SOG-IS. La reconnaissance mutuelle des certificats par plusieurs États permet de vendre ces produits dans tous les pays signataires. Deux domaines techniques sont couverts par cet accord pour les hauts niveaux de reconnaissance, celui des « microcontrôleurs sécurisés et produits similaires » et celui des « équipements matériels avec boîtiers sécurisés ». Une véritable expertise européenne de la certification de cybersécurité, qui est un atout dans la compétition économique mondiale, s'est ainsi développée depuis une vingtaine d'années. Et, au sein de l'Union, la France figure parmi les tous meilleurs avec l'Allemagne, notamment.
1. Pour un processus de certification européen exigeant
La proposition de la Commission européenne de mettre en place une certification européenne de cybersécurité est bienvenue, car un tel système n'existe pas. Il est en effet nécessaire de disposer d'un cadre européen unique de certification de sécurité pour les produits et services des technologies de l'information et de la communication, ainsi que pour les systèmes de cybersécurité. Un tel cadre, fondé sur une démarche volontaire, permettrait d'améliorer significativement le niveau de de sécurité informatique en Europe, tout en présentant une certaine flexibilité pour s'adapter aux exigences du marché. Il serait en outre plus favorable aux entreprises qui n'auraient qu'un seul certificat à demander, au lieu de 28. Le coût et le délai d'obtention en seraient d'autant réduits. L'annexe présente l'organisation proposée par la Commission européenne.
Si la mesure était attendue et demandée par de nombreux acteurs français, vos rapporteurs ont mesuré, lors de leurs auditions, une certaine déception quant au contenu de la proposition et une inquiétude réelle et générale quant au niveau de sécurité qui pourrait en résulter.
À la lecture de la proposition, on comprend que la Commission créerait un cadre entièrement nouveau, qui ne tiendrait pas compte de l'expérience acquise en la matière par certains États membres comme la France, l'Allemagne, les Pays-Bas et le Royaume-Uni. De même, plutôt que de s'appuyer sur l'expertise développée par les États membres, le processus serait confié à l'ENISA, pour qui l'activité serait nouvelle. Enfin, les États ne joueraient qu'un rôle de conseiller dans le processus et on peine à voir quel serait le rôle de l'industrie, pourtant moteur en la matière. Enfin, le cadre semble manquer de souplesse, posant un haut niveau d'exigences pour toutes les solutions sans lien avec les contraintes et les besoins du marché.
L'ensemble combiné de ces mesures porte en lui les racines d'un affaiblissement du niveau de cybersécurité acquis par les pays les plus avancés, sous l'effet d'une dilution des normes actuellement appliquées et du risque d'une sorte de dumping, des certificats pouvant être délivrés au sein même de l'Union par des pays moins regardants.
Pour vos rapporteurs, ce n'est pas acceptable. La mise en place d'une certification unique de cybersécurité dans l'Union européenne ne doit pas conduire à son affaiblissement. L'objectif est certes de simplifier les démarches des entreprises, il est aussi d'élever le niveau général de sécurité. Pour cette raison, il convient que le futur règlement comporte certains aménagements.
En premier lieu, le règlement devrait être clarifié en ce qui concerne les compétences régaliennes des États et prévoir que la Commission ne pourra adopter des schémas de certification dans les domaines de la sécurité nationale, de la défense et en ce qui concerne certains secteurs d'importance vitale pour les États membres.
En ce qui concerne l'évaluation, le système mis en place en France et en Allemagne s'appuie sur l'indépendance entre celui qui évalue et celui qui certifie. Cette distinction doit être préservée au niveau européen.
Enfin, et surtout, la certification européenne doit partir de ce qui se fait de mieux en Europe pour l'étendre aux pays qui ne sont pas encore au même niveau. Cela implique que la norme internationale SOGIS, déjà appliquée par plusieurs États membres et fondée sur des critères communs d'évaluation de la sécurité des technologies de l'information, constitue la base d'un futur certificat européen. En outre, l'Union doit s'appuyer sur l'expertise acquise par les États membres et non transférer l'ensemble des compétences au niveau européen. Enfin, pour être efficace, l'harmonisation sur la certification doit aussi porter sur les méthodes de certification.
2. Pour un cadre de certification plus souple associant tous les acteurs
Le cadre de certification proposé par la Commission s'appuierait sur trois niveaux d'assurance :
- Un niveau d'assurance élémentaire qui accorde un degré limité de fiabilité et dont l'objectif est de réduire les incidents de cybersécurité ;
- Un niveau d'assurance substantiel, d'un niveau de fiabilité plus élevé que le précédent et dont l'objectif est de réduire substantiellement le risque d'incidents de cybersécurité ;
- Un niveau d'assurance élevé, dont l'objectif est de prévenir les incidents de cybersécurité.
Ce cadre est censé s'appliquer à toutes les situations. Or, il apparaît pour beaucoup comme trop rigide. Des solutions pourraient être envisagées pour introduire de la souplesse. Deux pistes sont possibles : soit on introduit au sein de chaque niveau des sous-niveaux pour répondre à un éventail plus large de solutions, soit on définit les niveaux d'assurance au cas par cas pour chaque schéma de certification afin de répondre au mieux à chaque situation. Cela est également envisageable pour la période de validité des schémas, fixée de manière générale à trois ans, et qui pourrait varier en fonction du schéma considéré.
En outre, le processus est beaucoup trop centralisé et il doit mieux inclure les États membres, d'une part, et les professionnels des technologies de l'information et de la communication, d'autre part.
Ces derniers doivent pouvoir proposer des schémas de certification. En pratique, c'est ce qui se fait actuellement. Leur connaissance du secteur et leur expertise en fait des acteurs clés. Ils doivent aussi être mieux reconnus et impliqués au niveau européen. On peut également envisager que, pour le niveau élémentaire d'assurance, des mécanismes d'auto-certification et d'auto-évaluation soient mis en place pour répondre aux nécessités du marché.
Concernant les États membres, en raison du caractère particulier de la cybersécurité qui relève par certains aspects de la souveraineté nationale et de l'expertise qu'ils ont développé durant les dernières années, il n'est pas admissible qu'ils ne soient que consultés dans le processus de certification, quand bien même ils participent à la gouvernance de l'ENISA. C'est pourquoi, ils devraient pouvoir retrouver leur juste place.
Pour cela, il conviendrait qu'ils puissent, eux aussi, être en initiative de proposer un schéma de certification. En outre, ils doivent être plus présents dans le processus d'adoption, et notamment au niveau du comité chargé de valider un acte d'exécution instaurant un schéma. Par ailleurs, un mécanisme de revue par les pairs pour les plus hauts niveaux d'assurance devrait être mis en place. C'est un mécanisme exigeant, mais fécond, qui est déjà mis en oeuvre par la France, l'Allemagne et le Royaume-Uni.