Le Règlement Général sur la Protection des Données (RGPD) qui vient de fêter sa première année à pousser les acteurs de l’Union européenne (Parlement, Conseil et Commission européenne) à adopter rapidement un acte législatif, qui permettra de renforcer la sécurité d’un marché unique et européen, celui de la cybersécurité.
Le cybersecurity act a pour but d’accentuer le sentiment de confiance que les utilisateurs auront dans un produit ou un service et notamment les objets connectés de plus en plus utilisés au quotidien.
Ainsi, grâce à ce règlement, les consommateurs pourront obtenir des informations claires et uniformisées sur des exigences européennes en matière de sécurité informatique.
Ce règlement a pour ambition de permettre aux organismes de faire des économies mais également réduire les obstacles à ce marché comme nous le verrons dans la suite de cet article.
Deux objectifs importants sont poursuivis par ce nouveau règlement.
1. Renforcer les compétences de l’ENISA pour la cybersécurité de l’Europe
Appelée ENISA (Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information), celle-ci a pour but de consolider la coopération des états membres de l’UE et leur permettre de développer leurs facultés en cybersécurité.
L’ENISA dont le mandat se finissait en 2020 se voit maintenant doté d’un mandat permanent. En outre l’Europe, pour faire face aux cybermenaces, va accorder de nouvelles mesures propres à l’ENISA, lui accordant un rôle plus important. Par ailleurs, ces mesures sont “nécessaires pour améliorer la cybersécurité dans l’Union afin que les réseaux et systèmes d’information, les réseaux de communication, les produits, services et appareils numériques utilisés par les citoyens, les organisations et les entreprises […] soient mieux protégés contre les cybermenaces” (art 3).
L’agence pour la cybersécurité de l’Europe a dorénavant un rôle plus décisif en matière de coopération et de coordination au niveau de l’Union dans un cadre de certification de cybersécurité inédit.
2. Créer de nouveaux certificats européens de cybersécurité
Les certificats sont “des normes” que les organismes devront respecter lorsqu’elles mettent en place un nouveau produit ou service.
Ce cadre législatif est une avancée majeure puisque c’est le premier à prévoir un moyen de renforcer la sécurité des produits connectés, des appareils de l’internet des objets et des infrastructures critiques. Par ailleurs, les certificats mis en oeuvre seront valable dans tous les états membres ce qui permettra de rationaliser les politiques sur les questions de cybersécurité à un niveau européen et non plus uniquement national.
L’objectif poursuivi est donc la transparence du marché renforcé par les nouvelles certifications qui permettent de donner des indications sur le niveau d’assurance de ces produits et services.
Trois niveaux sont définis par le cybersecurity Act :
Le premier niveau “élémentaire” : qui cible les objets qui sont destinés au grand public tel que l’internet des objets (IoT)
Le second niveau “substantiel” : qui cible le risque médian tel que le cloud
Le troisième niveau “élevé” qui cible des éléments pour lesquelles les risques d’attaques seraient fortement problématique tels que les dispositifs médicaux connectés.
Enfin, le Cybersecurity Act est un règlement européen qui s’applique à tous les états membres de l’Union européenne. Ce texte doit entrer en vigueur le 27 juin 2019, toutefois les États membres ont de deux ans pour se mettre en conformité avec les dispositions impactant les organisations nationales.