L’EUCC adopté… en attendant son pendant cloud

Clément Bohic,
Linkedin

L’EUCC, schéma européen de certification cyber axé sur les produits logiciels et matériels, vient d’être adopté. Celui dédié aux services cloud (EUCS) reste dans les cartons.

« Domaines techniques », « profils de protection », « méthode d’évaluation commune »… Il va falloir se faire à cette terminologie dans le cadre de l’EUCC.

L’Union européenne vient d’adopter ce dispositif de certification de produits et services TIC destiné à remplacer les schémas nationaux tels que la CSPN française.

« CC » se réfère aux « critères communs » d’évaluation de la sécurité des technologies de l’information tels qu’ils figurent dans la norme ISO 15048. La « méthode d’évaluation commune » est quant à elle inscrite dans la norme ISO 18045.

Ces deux éléments constituent le socle de l’EUCC. Ils sont déjà à la base de l’approche du SOG-IS (groupe des hauts fonctionnaires pour la sécurité des systèmes d’information). Celui-ci fédère 17 pays d’Europe : France, Allemagne, Autriche, Danemark, Espagne, Estonie, Finlande, Italie, Luxembourg, Norvège, Pays-Bas, Pologne, Royaume-Uni et Suède. Il a déjà mis en place – depuis 2010 – un accord de reconnaissance mutuelle de certificats.
Cet accord vaut jusqu’au niveau d’assurance 4 des critères communs – ou jusqu’au niveau 7 (maximal) pour deux domaines techniques. En l’occurrence, les « microcontrôleurs sécurisés et produits similaires » et les « équipements matériels avec boîtiers sécurisés ».

L’EUCC pourra coexister avec des schémas nationaux

L’EUCC couvre toute l’Union européenne. Ou plutôt couvrira : les premiers certificats pourront être délivrés un an après l’entrée en vigueur, qui doit intervenir ce mois-ci. Il entraînera la fin progressive des schémas nationaux… ou pas : les États membres pourront en adopter ou en maintenir « à des fins de sécurité nationale ».

Il y aura deux niveaux d’assurance : « substantiel » (niveaux AVA_VAN 1, 2 et 3 des critères communs) et « élevé » (4 et 5). Le niveau « élémentaire » ne disparaît pas, mais fait l’objet d’une procédure d’autoévaluation (déclaration de conformité).

Les certifications au niveau élevé devront s’appuyer sur de la documentation « à l’état de l’art » pertinente vis-à-vis du domaine technique… ou sur les fameux « profils de protection », que l’EUCC permettra de certifier. Le règlement les définit comme suit :

profils de protection

Le Cybersecurity Act, adopté en 2019, avait ouvert la voie à la constitution de tels schémas de certification. Celui sur les services cloud (EUCS) est sujet à d’âpres discussions. Des travaux ont également démarré pour la 5G (EU5G). L’ENISA – « ANSSI européenne » réfléchit à en élaborer un pour l’IA.

Les organes de certification définiront la durée de validité de chaque certificat. Sauf exception, celle-ci n’excédera pas cinq ans.

À consulter en complément :

Après l’échec d’ESCloud, France et Allemagne s’accordent sur la CSPN
L’ANSSI limite à trois ans la validité de la CSPN
5G : l’UE se cherche un modèle de certification de sécurité

Illustration © noah9000 – Adobe Stock