La cybersécurité est un enjeu prioritaire de l’Union Européenne et des Etats membres, d’autant que la cybercriminalité a massivement augmenté avec l’épidémie de covid-19 et le recours aux intermédiaires numériques dans le cadre du télétravail. Face à la flambée du cybercrime, les autorités européennes ont tenu à se doter d’un arsenal législatif et opérationnel : le Cybersecurity Act.
Qu’est-ce que le Cybersecurity Act ?
Le Cybersecurity Act établit un cadre législatif et des standards uniques de cybersécurité pour l’espace européen. Il est préparé par l’Union Européenne et conjointement avec les agences nationales de cybersécurité, comme l’ANSSI (Agence nationale de la sécurité des systèmes d’information) pour la France.
Entré en vigueur le 27 juin 2019, ce règlement est obligatoire dans ses dispositions et s’applique donc à l’ensemble de l’Union Européenne.
La première partie du Cybersecurity Act officialise un mandat renforcé pour ENISA, l’European Union Agency for Cybersecurity. Cette agence de l’Union Européenne pour la cybersécurité dispose donc de pouvoirs et moyens renforcés, notamment en matière de :
- Cohésion
- Capacités opérationnelles
- Sensibilisation
ENISA, la référence cybersécurité de l’Union Européenne
Cette institution officielle de l’Union Européenne est créée en 2014 et constitue le point de référence des capacités de cyberdéfense et cyber-résilience de l’Union et des pays membres.
Cette agence a 4 missions : d’expertise, d’accompagnement dans l’élaboration de politiques publiques, de développement des capacités et de renforcement de la coopération entre les Etats. Elle fournit donc un cadre impactant de nombreuses normes, comme les normes comptables.
Un cadre européen unique de certification
La seconde partie du Cybersecurity Act introduit un cadre européen de certification de cybersécurité pour les produits, services et processus TIC (technologies de l’information et des communications). Cette certification vise à assurer leur résistance face aux risques cyber et est accordée après une évaluation menée par un tiers reconnu.
En termes de contraintes, il faut distinguer celles applicables aux États de celles applicables aux organisations. La mise en place de la certification est obligatoire pour les Etats, mais demeure volontaire pour les entreprises et autres organisations. Cependant, ce volontarisme est limité : les législations des pays membres peuvent imposer la certification et l’Union Européenne planifie une révision régulière du Cybersecurity Act avec, potentiellement, l’obligation de certification.
Au travers de ces deux dispositifs, le Cybersecurity Act vise à créer un cadre robuste de cybersécurité pour l’Union Européenne et à standardiser les normes et processus.
Quels sont les objectifs du Cybersecurity Act ?
Afin de (cyber) sécuriser l’espace européen, l’article 51 du Cybersecurity Act détaille les ambitions du texte :
- Sécuriser les produits, services et processus dès la conception et tout au long de leur cycle de vie, via des mises à jour de sécurité ;
- Construire des processus de sécurité robustes pour la collecte, le traitement et le stockage des données ;
- Protéger les données contre la divulgation, la destruction, la perte, l’altération, l’inaccessibilité ;
- Vérifier l’absence de vulnérabilités connues pour les produits, services et processus TIC ;
- Garantir l’accessibilité aux accès restreints aux seuls ayants droits ;
- Établir un historique de la donnée, avec une chronologie des services, fonctions et données consultés, utilisés ou traités, et par qui ;
- Assurer une cyber résilience en rétablissant la disponibilité et l’accès aux données, services et fonctions en cas d’incident.
Afin d’atteindre ces objectifs, le Cybersecurity Act compte notamment sur la mise en place de son système de certification.
Comment fonctionne le Cybersecurity Act pour les entreprises ?
Le Cybersecurity Act promeut un marché de la cybersécurité plus lisible. Celui-ci est en effet en plein essor, car des normes de cybersécurité certifiées rassurent les régulateurs, les potentiels clients et toutes autres parties prenantes. Les solutions sont florissantes et il est possible d’adhérer à des systèmes de certification nationaux et internationaux, à l’instar de la norme ISO 27001. Toutefois, la profusion de solutions et de prestataires brouille la lisibilité des règles et des valeurs respectives des différentes certifications. Dans cette perspective, le Cybersecurity Act permet aux consommateurs de prendre des décisions plus éclairées et de contribuer à l’émergence d’un marché numérique unique.
Cybersecurity Act : un règlement en trois dimensions
Selon les données, les produits et les services, la certification du Cybersecurity Act définit 3 niveaux d’assurance :
- « Elémentaire » (par exemple les technologies de l’information) : l’évaluation doit comprendre au minimum une analyse de la documentation technique
- « Substantiel » (par ex. le cloud) : il faut établir l’absence de vulnérabilités connues et mener des tests de sécurité
- « Elevé » (par ex. les voitures connectées) : en plus des actions précédentes, il faut mener des simulations d’attaque pour tester la robustesse du système
Le Cybersecurity Act intègre donc un dispositif complet et lisible, mais qui demeure volontaire pour les organisations. La certification est-elle, dès lors, dans leur intérêt ? Certes, elle est non-obligatoire, mais rappelons que la Commission européenne peut être amenée à réviser cette clause ; il peut ainsi s’agir pour l’entreprise d’anticiper les évolutions législatives. C’est, de plus, une question de sécurité, puisque l’organisation reçoit une certification pertinente pour les produits et / ou services vendus.
Plus largement, la cybersécurité est un enjeu majeur pour les entreprises, qui doivent l’envisager à la fois sur le plan des menaces technologiques et des tentatives de fraude. Arnaque au FOVI, fraude au faux fournisseur, fraude interne : autant de dangers dont l’entreprise peut cependant se protéger. Elle peut ainsi adopter une solution anti fraude comme Trustpair. Ce SaaS contrôle automatiquement et en continu la base tiers et alerte en cas de détection d’anomalies ou d’erreurs. L’entreprise peut ainsi se prémunir du risque de fraude.
POINTS À RETENIR:
- Le Cybersecurity Act établit un cadre législatif et des standards uniques de cybersécurité pour l’espace européen.
- Ses objectifs principaux sont: la protection des données et la sécurisation des produits/services/processus.
- Il est définit sous 3 niveaux d’assurance.
- Il vise à standardiser les normes et processus à l’échelle européenne.