Europe, ANSSI & BSI, accord de reconnaissance mutuel des certificats de sécurité pour CSPN et BSZ

AccueilActualitésEurope, ANSSI & BSI, accord de reconnaissance mutuel des certificats de sécurité...

Europe, ANSSI & BSI, accord de reconnaissance mutuel des certificats de sécurité pour CSPN et BSZ

Sommaire

Europe, ANSSI & BSI, accord de reconnaissance mutuel des certificats de sécurité pour CSPN et BSZ


La France et l’Allemagne signent un accord de reconnaissance mutuelle des certificats de sécurité pour les schémas CSPN et BSZ. En novembre 2021, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) et l’Office fédéral de la sécurité informatique allemand (BSI) ont annoncé l’élaboration de normes communes de certification.
C’est maintenant chose faite ! Les deux pays viennent en effet de signer un accord de reconnaissance mutuelle des certificats de sécurité pour les schémas CSPN et BSZ. L’accord implique que dorénavant l’ANSSI reconnaîtra les certificats BSZ. De même, la BSI reconnaîtra pour sa part les certificats CSPN délivrés par l’ANSSI, pour que les deux pays puissent s’harmoniser dans le cadre de la cybersécurité.

La France et l’Allemagne signent un accord de reconnaissance mutuelle des certificats de sécurité pour les schémas CSPN et BS. Qu’est-ce que cela implique pour ces deux pays en matière de cyber sécurité ?  La réponse tout de suite !

Un pas supplémentaire vers l’harmonisation globale des schémas de certification


Dans un communiqué de presse, l’Anssi qualifie cette signature faite par le directeur de l’ANSSI Guillaume Poupard et son homologue du BSI Arne Schönbohm « de pas supplémentaires vers l’harmonisation globale des schémas de certification ».

Avec l’entrée en vigueur de l’accord, les certificats déjà valides dans les deux programmes seront reconnus comme équivalents. Les certificats CSPN et BSZ émis à l’avenir seront automatiquement reconnus lors de leur publication, explique l’ANSSI dans un communiqué de presse. En principe, l’accord porte sur tous les certificats délivrés dans les deux programmes. Cela vaut pour les certificats CSPN-BSZ actuels et futurs.

Néanmoins, les certificats peuvent être exemptés de reconnaissance si, par exemple, ils sont soumis à des réglementations nationales particulières. Par ailleurs, l’accord, en plus de permettre la reconnaissance mutuelle des certificats CSPN-BSZ entre les deux pays, ouvre aussi la voie à une coopération renforcée entre les organismes certificateurs ANSSI et BSI. Notamment, les deux agences auront régulièrement des échanges professionnels pour l’harmonisation et le développement ultérieur de la CSPN et de la BSZ.

Que sont la CSPN et la BSZ ?


La Certification de Sécurité de Premier Niveau (CSPN), aussi appelée « Visa de Sécurité de l’ANSSI », est une certification délivrée uniquement par l’ASII pour des produits TIC tels que des logiciels, des systèmes d’exploitation, application et matériels informatiques qui sont répertoriés dans l’un ou plusieurs des catégories suivantes : effacement de données, stockage sécurisé, systèmes d’exploitation et de virtualisation, pare-feu, détection d’intrusions, anti-virus, protection contre les codes malicieux, identification, authentification et contrôle d’accès, communication sécurisée, messagerie sécurisée, environnement d’exécution sécurisé, automate programmable industriel et enfin commutateur industriel.

La certification CCSPN atteste que le produit en question a subi avec succès une évaluation de sécurité par un centre d’évaluation et devient commercialisable et exploitable sur le territoire français.

La certification de sécurité accélérée (BSZ), quant à elle, est un certificat indépendant qui confirme la déclaration de sécurité de produits informatiques délivrés par l’Office fédéral de la sécurité informatique allemand (BSI). Sans cette certification, les produits NTIC ne peuvent être commercialisés ou exploités en Allemagne. Grâce à une combinaison d’évaluations et de tests d’intrusion, BSZ se concentre sur la robustesse de la sécurité des produits informatiques.

Un accord qui s’inscrit dans le Cybersecurity Act


Sachez que d’autres pays pourraient aussi très prochainement suivre l’exemple donné par la France et l’Allemagne. Le communiqué explique que cet accord vient en complément de la norme européenne FiTCEM (Fixed Time Cybersecurity Evaluation Methodology). Il s’agit d’une norme européenne qui a pour ambition d’étendre l’harmonisation des pratiques de cybersécurité à tous les Etats membres de l’UE afin de renforcer la sécurité du marché unique numérique européen.

Pour rappel, les membres de l’UE travaillent depuis un certain temps sur la création d’un système européen de certification basé sur le Cybersecurity Act. Adopté par le Parlement européen mi-mars 2019, puis par le Conseil de l’Union européenne le 7 juin suivant, ce dernier est un acte juridique européen obligatoire dans toutes ses dispositions.

Il a notamment pour vocation de faciliter le recours à la certification des produits, services et autres processus qui concernent la cybersécurité et de faire en sorte que les certificats délivrés par un Etat membre soient reconnus dans toute l’UE.

Le problème avec l’absence de normes communes de certification dans l’UE


Cet accord signé par la France et l’Allemagne ou bien le Cybersecurity Act en général mettra du temps pour se lancer complètement. Néanmoins, ils sont déjà un pas supplémentaire vers la mise en place de normes communes de certification dans l’UE, comme l’affirme le directeur de l’ANSSI dans le communiqué annonçant l’accord.

Il est important de savoir que l’absence de normes communes de certification pénalisent grandement les entreprises de sécurité informatique qui doivent certifier ses produits de technologies de l’information et de la communication pays par pays lorsqu’elles visent plusieurs marchés nationaux.

Si ce genre de dispositif peut s’avérer efficace pour garantir un niveau de sécurité suffisant des produits TIC mis en vente, il s’avère malheureusement couteux et chronophage pour les entreprises, surtout que certains schémas de certification font doublon.

Il arrive même que certains schémas de certification soient contradictoires, dans le sens où en essayant de satisfaire les conditions imposées par certains pays, les produits se faisaient automatiquement interdire dans d’autres.

Pour remédier à ces différents problèmes, la mise en place de normes communes de certification dans l’UE s’impose. C’est là qu’intervient le Cybersecurity Act, pour supprimer cette complexité administrative qui pénalise les prestataires de sécurité informatique.

Cybersécurité européenne – le rôle prépondérant de la France


Depuis qu’elle préside le Conseil de l’Union européenne en janvier, la France a fait de la cybersécurité l’une de ses priorités. Lors de son cours mandat, elle a démarré de nombreux chantiers importants comme la révision la directive NIS sur les opérateurs de services essentiels, le renforcement de la coopération entre les Etats membres en cas d’incidents cyber, la consolidation du tissu industriel, la promotion d’une souveraineté numérique européenne, l’élargissement du champ d’application de la directive NIS (assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’Union européenne) et bien d’autres encore.

Sachez toutefois que l’engagement de la France dans la cybersécurité en Europe ne date pas de cette année. Déjà, si la version finale du Cybersecurity Act a été adopté par l’UE en 2019, c’est grâce à l’implication de l’ANSSI et la BSI, de la France et de l’Allemagne donc.

Et voilà que les deux pays sont les premiers en Europe à s’être mis d’accord sur la reconnaissance mutuelle des certificats de sécurité, c’est un grand pas, pour les futures solutions digitales.

Cette synergie entre les deux pays prouve bien le rôle prépondérant qu’ils ont dans le cadre de l’Union européenne.

Retour sur l’édition 2022 de la Cybersecurity Certification Conference


L’Agence de l’UE pour la cybersécurité (ENISA) a organisé le 2 et 3 juin derniers une conférence sur la certification de la cybersécurité sous la forme d’un événement hybride, physique et simultanément virtuel.

La conférence a cherché à se pencher sur l’avenir de la certification avec des échanges prospectifs sur les nouvelles technologies ainsi que sur la manière dont les prochains systèmes de certification seront développés mis en œuvre dans le cadre de l’approche de certification de l’UE.

Par ailleurs, outre le fait de supprimer la complexité administrative à laquelle fait face les prestataires dans le domaine du TIC, la conférence a aussi souligné les autres grands enjeux de la mise en place de normes communes de certification dans l’UE, qui sont le maintien de la confiance et de la sécurité dans les produits des technologies de l’information et des communications ainsi que la diffusion massive de solutions de cybersécurité fiables sur le marché.

En simplifiant dans la mesure du possible le travail des fournisseurs de technologie, grâce notamment à la mise en place de normes communes de certification dans l’UE, les experts espèrent que les solutions de cybersécurité fiables et à bas coûts vont inonder le marché.

Enfin, ouverte par le directeur exécutif de l’ENISA, Juhan Lepassaar, la conférence a aussi souligné le rôle des pouvoirs publics dans la certification de la cybersécurité dans le sens de la souveraineté et de la confiance numériques.

Auteur Antonio Rodriguez, Editeur et Directeur de Clever Technologies
Michel Labise
Depuis plusieurs années, la roue a facilité le voyage et le transport. Les Nouvelles technologies de l'information ont aussi amélioré la diffusion des informations "News" pour mieux nous alerter et ou nous instruire. Les évolutions technologiques dans les domaines du l'information, la santé ne seraient rien sans l'apport de la technologie.
- Advertisement -spot_img
Actualités
- Advertisement -spot_img
error: Content is protected !!