En plein mois de la cybersécurité, et à quelques jours du lancement des Assises de la sécurité à Monaco, ACN et Hexatrust tirent la sonnette d’alarme sur le contenu du Cyber Act Européen déposé de façon un peu brutale et très rapide, sur le bureau du parlement européen.

A l’occasion du discours sur l’état de l’Union prononcé par le Président de la Commission européenne Jean-Claude JUNCKER, la Commission européenne a présenté le 13 septembre dernier, une série de mesures relatives à la cybersécurité, dont notamment une proposition de règlement impliquant l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information).

Ce projet de règlement ambitionne de redéfinir le mandat et le rôle de l’ENISA et propose de créer un nouveau schéma européen de certification en matière de cybersécurité.

A la lecture du projet de règlement qui connait une progression inhabituellement rapide, l’Alliance pour la confiance numérique (ACN) et Hexatrust ont interpelé le chef du gouvernement sur le remplacement des « schémas de certification existants actuellement en France et en Europe en conférant à l’ENISA et à la Commission européenne le contrôle total de l’élaboration et de la validation de tout nouveau schéma de certification à venir, et ce, pour tous les secteurs d’activités. » Les autorités de contrôle nationales – comme l’ANSSI en France ou le BSI en Allemagne – se retrouveraient donc dépourvues de tout pouvoir, et limitées à un rôle consultatif !

« La certification est un enjeu hautement stratégique pour nos entreprises, mais également pour notre pays et

pour l’Europe. En pleine mise en place de la réglementation GDPR, ces schémas de certification permettent de sécuriser les données à caractère personnel et sont, en ce sens, les outils indispensables pour garantir les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne et les valeurs humanistes portées par notre continent. » souligne Jean-Pierre Quémard, Président d’ACN.

Ces schémas, en attestant d’un haut niveau de sécurité des produits, des solutions et des services constituent des outils indispensables pour garantir la souveraineté nationale et européenne dans le domaine des TIC et du numérique.

Supprimer 20 ans d’avance !

Ce projet prévoit en effet de remplacer les schémas de certification existants actuellement en France et en Europe en conférant à l’ENISA et à la Commission européenne le contrôle total de l’élaboration et de la validation de tout nouveau schéma de certification, et ce, pour tous les secteurs d’activités. Les Etats-membres, les autorités nationales (l’ANSSI pour la France ou le BSI pour l’Allemagne) ainsi que les représentants du monde économique n’auraient qu’un rôle consultatif dans ce processus stratégique, y compris sur des sujets relevant de la sécurité et de la souveraineté nationales.

« Cette proposition de règlement risque donc de supprimer les quelques vingt ans d’avance des entreprises européennes de la sécurité numérique au profit d’entreprises non européennes. » explique Jean-Noël de Galzain, Président d’Hexatrust, PDG de Wallix et de poursuivre « Cette loi mettrait en péril l’émergence de nouveaux acteurs et mettrait en difficulté via des processus administratifs complexes nos PME. Les autorités de tutelle ainsi que notre gouvernement doivent se mobilier pour infléchir le projet. C’est un point essentiel pour l’avenir de la cybersécurité et des petites entreprises françaises.»

Attention à l’amalgame

Le cas des technologies hautement sensibles comme le chiffrement et les applications embarquées de haute sécurité ou la perte d’expertise des laboratoires d’évaluation est à craindre. En effet, il faut distinguer les différents degrés de sécurité nécessaires. « Il faut différencier l’internet des objets et les solutions et services de confiance numérique pour les services essentiels et vitaux par exemple. La niveau de sécurité ne doit et ne peut pas être le même. En faisant cette amalgame, nous nous mettons dans une situation dangereuse. » alerte le Président d’Hexatrust et de poursuivre « Je ne suis pas contre ce projet, qui est intéressant sous plusieurs aspects, mais je crois qu’il ne faut tout simplement pas tout mélanger. Nous devons trouver un système standardisé de sécurité car il y a urgence, effectivement. Mais cela ne veut pas dire qu’il faut confondre un objet connecté pour se brosser les dents avec un système de sécurité dédié à la SNCF, à une centrale nucléaire, ou encore au stockage des données de santé. »

Par ailleurs, ce projet fait reposer la responsabilité de la certification finale des produits et solutions en matière de cybersécurité sur des entités dont l’agrément et le contrôle dépend uniquement de leur autorité nationale. Les certificats étant valables sur l’ensemble du territoire européen, une incertitude majeure pèse sur l’homogénéité des niveaux de sécurité selon le pays d’origine dans lequel est émis le certificat. Le risque est, à terme, de voir des produits ayant des niveaux de cybersécurité et de qualité inégale afficher une certification équivalente réduisant ainsi les efforts déployés notamment par l’ANSSI et le BSI, pour élever le niveau de cybersécurité de notre société. « Nous allons alors tirer la cybersécurité vers le bas et ce n’est pas acceptable. » ajoute Jean-Noël de Galzain.

Une cohérence des certifications européennes

Mettre en cohérence les certifications de cybersécurité au niveau européen est un appel à voeu formulé par les différents acteurs de la cybersécurité, industriels comme autorités nationales. En revanche, les recommandations présentées par ce Cyber Act Européen « vont totalement à l’encontre des recommandations portées par la France et par l’Allemagne » souligne Jean-Pierre Quémard et de poursuivre « l’absence totale de contre-pouvoirs des Etats-membres et des autorités nationales ainsi que le manque de transparence dans les nouveaux schémas de certification apparaissent comme un facteur de risque majeur. »

Dans la missive adressée au Premier ministre et au secrétaire d’Etat au numérique, Mounir Mahjoubi – qui lors de son déplacement à Talinn a souligné la vigilance à adopter à l’égard des travaux en cours – l’ACN et Hexatrust appelle à plusieurs recommandations : un rôle décisionnel pour les Etats-membres à travers leurs autorités nationales, l’intégration des dispositifs existants de certification, une plus grande transparence concernant les acteurs intervenant dans l’élaboration des schémas de certification, et enfin la possibilité pour les autorités nationales de contrôler leurs pairs des autres pays européens ainsi que certaines catégories de produits et services « stratégiques ».

Il y a urgence !

Le projet de règlement connait en effet, une progression inhabituellement rapide. Il semblerait que le contenu de ce projet ait fait l’effet d’un hold up. Les éléments annoncés le 13 septembre ont été découverts le jour J par certains des principaux intéressés… Alors pourquoi si vite, si brutalement ? « Si l’on comprend l’urgence de la situation avec les attaques importantes et très agressives des derniers mois, cela ne veut pas dire qu’il faille confondre vitesse et précipitation. » souligne une source proche du dossier. De là à voir un lobbying puissant pousser par nos amis anglo-saxons, il n’y a qu’un pas. Le débat autour de la certification des outils de cybersécurité et de cyberdéfense n’est en effet pas nouveau ! La mise à jour des critères communs, lancée il y a un an, s’est vue tirer vers le bas par une action en force des anglo-saxons. « Nous ne souhaitons pas faire de l’Europe un bastion impénétrable, cela n’aurait pas de sens. En revanche, qu’il s’agisse des critères communs ou d’une certification de cybersécurité européenne et internationale, nous ne devons pas niveler vers le bas. » précise Jean-Pierre Quémard.

Urgence donc face à ce projet de règlement qui évolue dans un sens contraire aux intérêts français et européens. Le Parlement européen a déjà choisi, pour étudier le texte sur le fond, la commission Industrie et les rapporteurs pressentis sont connus pour leur opposition à la vision franco-allemande.

Ce texte a été présenté au Conseil de l’UE ce vendredi 6 octobre 2017. « Nous ne savons pas quelles ont été les issues des débats qui furent très intenses et si les représentants de notre pays ont rappelé avec force les garanties et responsabilités minimales que doit comporter ce projet. » souligne les signataires de la lettre au gouvernement français. « Nous savons qu’ils ont pris en compte notre position. Les Allemands et l’ECSO vont également pousser des positions similaires. »

Alors à la questions n’est-il pas déjà trop tard ? Jean-Noël de Galzain répond « L’axe franco-allemand est suffisamment fort pour faire infléchir ce projet. »

Alors que les discussions au sein de la Commission reprendrons dans une dizaine de jours, le Président d’Hexatrust en appelle à « la responsabilité de notre gouvernement. La France doit rester en pointe sur ces sujets. Nous devons être à la hauteur de nos ambitions. Toute l’équipe de France est mobilisée. Nous espérons que le gouvernement appuiera cet élan ! »

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.