L'EUCC adopté... en attendant son pendant cloud
Publié par Clément Bohic le | Mis à jour le
L’EUCC, schéma européen de certification cyber axé sur les produits logiciels et matériels, vient d’être adopté. Celui dédié aux services cloud (EUCS) reste dans les cartons.
« Domaines techniques », « profils de protection », « méthode d’évaluation commune »… Il va falloir se faire à cette terminologie dans le cadre de l’EUCC.
L’Union européenne vient d’adopter ce dispositif de certification de produits et services TIC destiné à remplacer les schémas nationaux tels que la CSPN française.
« CC » se réfère aux « critères communs » d’évaluation de la sécurité des technologies de l’information tels qu’ils figurent dans la norme ISO 15048. La « méthode d’évaluation commune » est quant à elle inscrite dans la norme ISO 18045.
Ces deux éléments constituent le socle de l’EUCC. Ils sont déjà à la base de l’approche du SOG-IS (groupe des hauts fonctionnaires pour la sécurité des systèmes d’information). Celui-ci fédère 17 pays d’Europe : France, Allemagne, Autriche, Danemark, Espagne, Estonie, Finlande, Italie, Luxembourg, Norvège, Pays-Bas, Pologne, Royaume-Uni et Suède. Il a déjà mis en place – depuis 2010 – un accord de reconnaissance mutuelle de certificats.
Cet accord vaut jusqu’au niveau d’assurance 4 des critères communs – ou jusqu’au niveau 7 (maximal) pour deux domaines techniques. En l’occurrence, les « microcontrôleurs sécurisés et produits similaires » et les « équipements matériels avec boîtiers sécurisés ».
L’EUCC pourra coexister avec des schémas nationaux
L’EUCC couvre toute l’Union européenne. Ou plutôt couvrira : les premiers certificats pourront être délivrés un an après l’entrée en vigueur, qui doit intervenir ce mois-ci. Il entraînera la fin progressive des schémas nationaux… ou pas : les États membres pourront en adopter ou en maintenir « à des fins de sécurité nationale ».
Il y aura deux niveaux d’assurance : « substantiel » (niveaux AVA_VAN 1, 2 et 3 des critères communs) et « élevé » (4 et 5). Le niveau « élémentaire » ne disparaît pas, mais fait l’objet d’une procédure d’autoévaluation (déclaration de conformité).
Les certifications au niveau élevé devront s’appuyer sur de la documentation « à l’état de l’art » pertinente vis-à-vis du domaine technique… ou sur les fameux « profils de protection », que l’EUCC permettra de certifier. Le règlement les définit comme suit :
Le Cybersecurity Act, adopté en 2019, avait ouvert la voie à la constitution de tels schémas de certification. Celui sur les services cloud (EUCS) est sujet à d’âpres discussions. Des travaux ont également démarré pour la 5G (EU5G). L’ENISA – « ANSSI européenne » réfléchit à en élaborer un pour l’IA.
Les organes de certification définiront la durée de validité de chaque certificat. Sauf exception, celle-ci n’excédera pas cinq ans.
À consulter en complément :
Après l’échec d’ESCloud, France et Allemagne s’accordent sur la CSPN
L’ANSSI limite à trois ans la validité de la CSPN
5G : l’UE se cherche un modèle de certification de sécurité
Illustration © noah9000 – Adobe Stock