Les certifications européennes de cybersécurité se font attendre

Le marché unique européen de la cybersécurité n'est pas pour tout de suite. Initialement prévue pour être tranchée en parallèle de la révision de la directive Network and Information Security, la question d'une politique commune d'évaluation et de labellisation des technologies de cybersécurité reste en suspens, quatre ans après le règlement sur la cybersécurité qui l'avait fait naître.

Alors que la directive est en passe d'être formellement adoptée, le sujet patine dans les groupes de travail européens. Quand il y a un an les professionnels du secteur évoquaient une mise en oeuvre en 2022, ceux rencontrés début juin à Lille, au forum international de la cybersécurité, n'espèrent plus rien avant 2024.

Visas de sécurité

« Nous aimerions qu'une certification européenne voie le jour un peu plus vite », regrette Pierre-Yves Hentzen, PDG de Stormshield, un éditeur de logiciels pare-feu filiale à 100 % d'Airbus CyberSecurity. L'enjeu est d'accélérer l'exportation à l'échelle européenne des champions nationaux du secteur, aujourd'hui contraints de soumettre leurs technologies à différents audits pour chaque pays dans lesquels ils comptent des sociétés critiques comme clients.

A la manière des visas de sécurité en France, ces certifications valables trois ans garantissent aux entreprises et aux administrations quels sont les produits ou les services réellement de confiance. Dans certains cas, la régulation peut exiger d'une entreprise qu'elle utilise un logiciel certifié. L'idée d'un label européen est de permettre en France à l'Agence nationale de la sécurité des systèmes d'information (Anssi) et aux centres d'évaluation de la sécurité des technologies de l'information (Cesti) - comme Amossys, Serma ou encore Oppida - d'effectuer des audits valables pour tout le continent.

Sauf que l'Union européenne peine à s'accorder sur des critères communs. Sur le plan technique, les réticences de certains pays qui craignaient, par manque de compétence, de dépendre des évaluations des autres, ont disparu. Mais les questions juridiques d'imperméabilité aux droits étrangers, notamment américains, promettent encore de longs débats.

En matière de labellisation de l'informatique en ligne - le sujet le plus sensible -, deux niveaux de labellisation technique ont ainsi été déterminés : un premier niveau équivalent aux critères de la certification allemande C5, et un second, plus exigeant, reprenant le visa SecNumCloud français.

Des enjeux nationaux perdurent

Mais la discussion n'est pas terminée entre juristes. La France plaide pour une rigueur maximale à l'encontre des technologies cloud qui tombent sous le coup de la loi américaine en raison des liens capitalistiques entre les Etats-Unis et les sociétés qui les opèrent. Ce qui reviendrait à écarter les champions du marché comme Amazon, Microsoft ou Google des entreprises les plus sensibles, à moins qu'ils travaillent avec des sociétés européennes. Mais d'autres Etats européens ne veulent pas se mettre à dos l'allié américain sur cette question, alors que la tension géopolitique s'accroît à l'est du continent.

Ces labels européens ne tueront de toutes les façons pas totalement les certifications nationales. En effet, ces dernières devraient rester les seuls sésames pour répondre aux appels d'offres relatifs à la sécurité des systèmes informatiques les plus sensibles, notamment militaires ou régaliens. « La souveraineté est un sujet national », rappelle Pierre-Yves Hentzen. Quoi qu'en disent les idéaux européens.