L'EUCC entre dans sa phase pratique après quelques ajustements

À qui les premiers certificats EUCC ?

Depuis quelques semaines, il est théoriquement possible d'en obtenir. En France, un laboratoire de sécurité peut pour le moment en délivrer, ayant obtenu l'agrément de l'ANSSI. Nommément, SERMA.
Des organismes d'évaluation ont officiellement été accrédités dans trois autres pays :

• Allemagne : atsec, Deutsche Telekom, Secuvera, SRC et TÜV Informationstechnik
• Espagne : Applus+ Laboratories et DEKRA
• Suède : atsec

Quatre options pour la certification EUCC

Adopté début 2024, l'EUCC est un schéma européen de certification de cybersécurité pour les produits et services TIC. Il entraînera la fin progressive des schémas nationaux, comme la CSPN en France. Ou pas : les États membres peuvent en adopter ou en maintenir "à des fins de sécurité nationale" (l'ANSSI entend d'ailleurs continuer à en émettre au niveau "élevé").

La certification peut se fonder sur les "critères communs" d'évaluation de la sécurité des technologies de l'information tels qu'ils figurent dans la norme ISO 15048. Autre option : la "méthode d'évaluation commune" inscrite quant à elle dans la norme ISO 18045. L'une et l'autre sont déjà à la base de l'approche du SOG-IS (groupe des hauts fonctionnaires pour la sécurité des systèmes d'information). Celui-ci fédère 17 pays d'Europe. Il a mis en place - depuis 2010 - un accord de reconnaissance mutuelle de certificats. Cet accord vaut jusqu'au niveau d'assurance 4 des critères communs. Ou jusqu'au niveau 7 (maximal) pour deux domaines techniques : "microcontrôleurs sécurisés et produits similaires" et "équipements matériels avec boîtiers sécurisés".

Il est également possible de recourir aux critères communs et à la méthode commune définis dans le cadre du CCRA (arrangement de reconnaissance mutuelle selon les critères communs). En vertu de cet accord, une vingtaine de pays peuvent émettre des certificats. Une quinzaine d'autres États signataires n'en émettent pas mais les reconnaissent.

Une tolérance récemment introduite dans l'EUCC

En décembre 2024, l'EUCC a fait l'objet d'un amendement destiné à préciser que ces normes s'entendent dans leur dernière version (2022). En parallèle, une période de transition a été définie pour les produits certifiés sur la base d'anciennes versions. À savoir :

• ISO 15408-1:2009, 15408-2:2008 et 15048:3:2008
• ISO 18045:2008
• Les critères communs et la méthode commune du CCRA en version 3.1, révision 5

Jusqu'au 31 décembre 2027, un certificat qui applique ces normes peut être délivré au titre du schéma EUCC. Il existe en outre une exception dans l'exception. Les révisions 1 à 4 du CCRA version 3.1 peuvent en l'occurrence être utilisées pour certains profils de protection si exigé par :

• Le règlement 901/2014 (eIDAS)
• Le règlement d'exécution 2016/799 (tachygraphes)
• La décision d'exécution 2016/650 (dispositifs qualifiés de création de signature électronique et de cachet électronique)

Il appartient aux organismes de certification de définir la durée de validité de chaque certificat. Sauf exception, celle-ci n'excédera pas 5 ans - à comparer aux 3 ans que dure la CSPN en France.

Illustration © noah9000 - Adobe Stock