Le « Cybersecurity Act », ou CSA, (officiellement le Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013) est pleinement entré en vigueur depuis le 28 juin 2021. Il établit un cadre européen visant à harmoniser au niveau de l’Union européenne (UE) les paramètres relatifs aux règles, exigences, normes et procédures qui s’appliquent à des schémas de certification de cybersécurité basés sur le risque pour les produits, services et processus TIC. A cette fin, il introduit trois niveaux d’assurance – ‘élémentaire’, ‘substantiel’ et ‘élevé’ – en matière de certification de cybersécurité, allant des cas à moindre risque aux cas à risque plus important. Dans le même contexte, l’Agence de l'Union européenne pour la cybersécurité (ENISA), a la tâche de rédiger des schémas de certification portant sur des sujets spécifiques et couvrant un ou plusieurs de ces niveaux d’assurance. Par ailleurs, fait important, les certificats de cybersécurité européens obtenus dans le cadre du CSA sont automatiquement reconnus dans l’ensemble des Etats membres de l’UE. Le projet CORAL vise à faciliter la certification au niveau élémentaire des acteurs du marché dans le cadre d’un schéma européen de certification de cybersécurité.
CORAL est un projet d’une durée de trois ans, cofinancé par le programme « Connecting Europe Facility » de l’Union européenne, et mené par trois partenaires au Luxembourg : la Luxembourg House of Cybersecurity (LHC), l’ILNAS et l’ANEC GIE. Le projet CORAL (« cybersecurity Certification based On Risk evALuation and treatment ») vise à adresser la certification, dans le cadre d’un schéma européen de certification de cybersécurité, au niveau ‘élémentaire’ et est, à notre connaissance, le premier projet européen au Luxembourg à traiter ce sujet. Il a pour objectif de développer une boîte à outils pour aider à rendre la certification européenne de cybersécurité concrètement réalisable pour les acteurs du marché dans des cas d’utilisation à faible risque. Il s’adresse en priorité aux organisations disposant de ressources limitées à dédier à la cybersécurité.
Dans ce cadre, CORAL se positionne comme une méthodologie accompagnant la certification de cybersécurité pour des schémas européen qui couvrent le niveau d’assurance élémentaire. Il suggère une approche et propose des outils basés sur des critères officiels existants pour évaluer la maturité en cybersécurité d’un produit, service, ou processus TIC. S’appuyant sur cette évaluation, une organisation peut se porter candidate à une certification de cybersécurité dans le cadre du CSA au niveau d’assurance ‘élémentaire’, à partir du moment où les schémas de certification intégrant ce niveau ont officiellement été adoptés par l’Union européenne. Actuellement, deux projets de schémas existent (ils seront effectifs, à terme, par l’adoption des actes d’exécution ad hoc par la Commission européenne) :
- L’EUCC, portant sur les produits TIC en général, aux niveaux ‘substantiel’ et ‘élevé’. L’EUCC ne précise pas de niveau d’assurance ‘élémentaire’ et n’est par conséquent pas dans la portée de CORAL ;
- L’EUCS, portant sur les services d’informatique en nuage, ou « cloud », aux niveaux ‘élémentaire’, ‘substantiel’, et ‘élevé’. La présence du niveau ‘élémentaire’ place ce schéma dans la portée de CORAL.
Les outils développés dans le cadre du projet CORAL, composés d’un ensemble de questionnaires ainsi que d’une procédure globale, s’adressent à deux catégories principales d’utilisateurs :
- Les petites et moyennes entreprises (PME) qui souhaitent évaluer la maturité en cybersécurité du produit, service ou processus qu’elles proposent, éventuellement dans l’optique d’obtenir une certification au niveau ‘élémentaire’ ;
- Les auditeurs travaillant pour le compte d’organismes d’évaluation de la conformité compétents pour la délivrance de certificats en regard des schémas CSA décrits précédemment, et qui peuvent réaliser un audit basé sur les réponses fournies à travers les questionnaires de l’outil.
Les questionnaires de CORAL ont été élaborés à partir de sources bien établies en matière de sécurité de l’information : normes internationales ou européennes, bonnes pratiques internationalement reconnues, projets de schémas européens de certification de cybersécurité. Ainsi, la méthodologie CORAL dispose d’une flexibilité suffisante pour s’aligner aux schémas CSA existants et à venir. Quant au profil auditeur proposé par CORAL - qui définit les compétences dont doivent disposer les auditeurs amenés à délivrer des certificats de cybersécurité européens - il est basé sur la « Cybersecurity Skills Framework » de l’ENISA.
L’outil CORAL est disponible sur une plateforme dédiée. L’ensemble des parties intéressées sont invitées à le tester et à partager leur avis, contribuant ainsi à l’amélioration continue du projet. Tout commentaire relatif à CORAL et à ses outils peut être envoyé à l’adresse coral@lhc.lu.
A noter qu’au Luxembourg, l’ILNAS a été nommé « National Cybersecurity Certification Authority » en charge des activités de supervision. Toute demande portant sur le CSA en général peut être envoyée à l’adresse électronique supervision-cybersecurite@ilnas.etat.lu. L’ILNAS est également l’organisme national de normalisation pour le Luxembourg, avec lequel tout acteur du marché peut prendre contact via normalisation@ilnas.etat.lu pour s’impliquer dans des activités de normalisation, par exemple en relation avec les normes techniques en soutien au CSA. Enfin, la LHC est l’agence nationale en matière de cybersécurité pour l’économie et les municipalités au Luxembourg, et offre aussi des outils « open-source » et des bonnes pratiques générales en matière d’évaluation de la maturité en cybersécurité pour les PME.