Cybersecurity act : Faites certifier vos produits et services

Le 15 septembre 2022, le règlement européen Cybersecurity act est entré en vigueur. Ce règlement européen est applicable sur l’ensemble du territoire de l’Union européenne.

Les objectifs de ce règlement

Ce règlement européen a deux objectifs principaux :

• l’adoption du mandat permanent de l’ENISA ;
• la définition d’un cadre européen de certification de cybersécurité.

Pour les Etats membres

Les agences nationales comme l’ANSSI vont transférer une partie de leur pouvoir à l’ENISA qui va coordonner l’ensemble des politiques en matière de cybersécurité. L’ENISA va s’appuyer sur l’ANSSI comme relais interne en France.

Ce mandat permanent donné à l’ENISA permet un renforcement des actions et missions menées en matière de cybersécurité. C’est notamment le cas dans les domaines suivants :

• développement et soutien à la mise en place des politiques européennes ;
• expertise informatique ;
• appui capacitaire des États ;
• soutien à la coopération opérationnelle entre les États membres et sensibilisation des États et entités économiques.

Un champs d’application encore flou à ce stade

Cette certification aura pour but de légitimer les actions entreprises par les sociétés pour proposer des produits et des services sécurisés à leur client.

Ainsi, les sociétés qui proposent des « produits », des « objets connectés » à leur client pourront obtenir de la part de l’Anssi une labellisation de sécurité de leur ces produits.

Le type de produits concernés reste encore à ce stade assez flous pour les entreprises. Ils pourraient concerner les solutions de traitement de données à distance basées sur un logiciel ou un matériel prenant en charge le fonctionnement d’un appareil connecté.

Ce qui est certain c’est que les services (SaaS) déjà concernés par le directive NIS 2 ne constituent pas des solutions de traitement de données à distance au sens du présent règlement.

Ainsi « les services cloud conçus et développés en dehors de la responsabilité d’un fabricant d’un produit et qui comportent des éléments numériques n’entrent pas dans le champ d’application de ce règlement », indique le texte.

Ce flou quant au champ d’application du règlement risque d’en limiter l’applicabilité par les Etats membres.

Quelles sont les limites ?

Les pays de l’Ouest ont développé différents moyens de lutte interne en matière de cybersécurité, piloté par des agences telles que l’ANSSI.

Dès lors, il ressort qu’il existe de nombreuses disparités en termes de cybersécurité entre les États. Certains États ont pris des mesures protectrices pour leurs entreprises. A l’inverse, certains États n’ont pas dans leur priorité, de prendre des mesures dans ce domaine.

Si l’un des États traîne à prendre des mesures avec un retard indéniable, cela a forcément un impact sur la coopération européenne et le rôle joué par l’ANSSI.

De plus, la certification délivrée est limitée à l’effectivité de sa reconnaissance étatique.

De plus, le règlement ne fixe pas précisément les critères pour obtenir la certification. Est-ce que ce sera à chaque agence nationale d’établir ses propres critères pour la délivrance, ou est-ce que le règlement va définir une liste précise ?

Le cabinet Lexing Alain Bensoussan reste à votre disposition pour répondre à toutes vos questions.

Anthony Sitbon
Lexing Technologies, Sécurité

Emmanuel Walle
Eric Duvauchelle
Lexing Social numérique