Le Parlement européen adopte le Cybersecurity Act !

Le Parlement européen adopte le Cybersecurity Act !
⏱ Lecture 3 min

Par Stéphane ASTIER et Alexandre LOBRY

A l’heure de l’explosion de l’intelligence artificielle et d’une transition digitale généralisée à l’ensemble de l’économie, la problématique de cybersécurité apparaît comme incontournable[1]. Que l’on soit acteur public ou entreprise privée, la protection des données devient une priorité face à des attaques de plus en plus sophistiquées[2].

Alors que les cas de hacking ont généralement une nature transnationale, les réponses apportées par les autorités en terme de répression sont surtout nationales[3], créant ainsi un boulevard pour des actes de pirateries informatiques de grande ampleur sans réel risque de condamnation.

C’est dans ce contexte que le 12 mars 2019, le Parlement européen a adopté un règlement introduisant le premier dispositif européen de certification en matière de cybersécurité[4].

De quoi s’agit-il ?

1. Le Cybersécurité Act : Un dispositif réduisant la fragmentation du marché européen

Pour susciter la confiance et assurer la sécurité des produits et services de technologies de l’information et de la télécommunication (TIC), les caractéristiques de sécurité doivent être définies dès les premières phases de conception technique et de développement (sécurité dès la conception[5] ou security by design).

La mise en place au niveau européen d’un dispositif de certification vise à réduire la fragmentation du marché. Un fournisseur de produits, services et processus TIC ne sera plus obligé de passer par divers schémas de certification nationaux pour se déployer au sein de l’Union.

Un dispositif de certification à plusieurs niveaux est ainsi prévu :

  • Le niveau d’assurance élémentaire qui renvoie à une certification de cybersécurité accordant un degré limité de fiabilité. Au niveau élémentaire, les fabricants ou les fournisseurs de services pourront effectuer eux-mêmes l'évaluation de conformité. De surcroît, une procédure déclarative est mise en place au sein de ce niveau ;
  • Le niveau d’assurance substantiel qui renvoie à une certification accordant un degré satisfaisant de fiabilité. Ce niveau permet que les risques connus d'incidents cybernétiques soient évités mais également d’assurer une résistance aux cyberattaques avec des ressources et des moyens limités ;
  • Le niveau d’assurance élevé qui vise principalement les produits et services dont la résistance aux cyberattaques est cruciale, tels que des puces électroniques. La procédure dans ce niveau est robuste avec de fortes exigences en termes de tests de sécurité.

2. Le contrôle du dispositif de certification de cybersécurité européen

Le contrôle de cette certification est toutefois renvoyé aux Etats Membres. Ainsi, il est désormais prévu que chaque Etat membre désigne une autorité nationale de contrôle de la certification. Cette dernière devra être indépendante, tant au regard de son organisation qu’au regard de ses décisions, de son financement, de sa stature juridique ou encore de son processus décisionnel.

L’ensemble sera supervisé par l’Agence européenne de la sécurité des réseaux et de l’information (ENISA) qui se chargera :

  • D'éviter la fragmentation des systèmes de certification dans l’Union européenne ;
  • De mettre au point des systèmes de certification de l’UE pour des produits ayant des spécificités ;
  • De communiquer via un site internet dédié les informations relatives aux certificats retirés et expirés.

Précisons ici que malgré des pouvoirs renforcés, l’ENISA n’aura aucun contrôle sur les décisions des autorités nationales relatives au contrôle de certification. Un système de coopération entre autorités nationales (système de "peer review") est dès lors privilégié dans une logique de souplesse.

La sécurité étant au cœur de tous les débats et représentant un pilier majeur de la protection des données[6], ce règlement arrive à point nommé. En effet :

  • Pour les clients, la certification permet en effet de faciliter l’identification de solutions présentant des niveaux de garanties adéquates ;
  • Pour les fournisseurs de solutions, justifier d’un niveau d’assurance élevé constituera un argument commercial de poids dans une logique de différenciation concurrentielle.

Grâce à ce dispositif européen, la certification devrait poursuivre sa généralisation via des processus de contrôle continus au même titre que les analyses d’impacts[7] et autres audits incluant des tests d’intrusions.
Cyber-risque : le choix de l'assurance

Le cabinet HAAS Avocats est spécialisé depuis plus de vingt ans en droit des nouvelles technologies et de la propriété intellectuelle. Le département cybersécurité accompagne de nombreux acteurs du secteur public comme du secteur privé dans le cadre de la mise en place de dispositifs dédiés à la gestion du risque cyber et à la protection des données. En savoir plus sur nos compétences en cybersécurité.

 

 

 

[1] Cf. http://info.haas-avocats.com/droit-digital/s%C3%A9curit%C3%A9-des-donn%C3%A9es-le-bilan-6-mois-apr%C3%A8s-le-rgpd

[2] http://info.haas-avocats.com/droit-digital/cybercriminalité-le-ransomhack-nouvelle-forme-dattaque-cybercriminelle

[3] http://info.haas-avocats.com/droit-digital/cyber-sécurité-la-communication-au-cœur-de-la-gestion-du-risque-cyber

[4] RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL relatif à l’ENISA, Agence de l’Union européenne pour la cybersécurité, et abrogeant le règlement (UE) no 526/2013, et relatif à la certification des technologies de l’information et des communications en matière de cybersécurité (règlement sur la cybersécurité).

[5] Cf. Article 25 du RGPD

[6] Cf. art. 32 du RGPD

[7] Cf. https://www.haas-avocats.com/data/raisons-mener-une-etude-dimpact/

Stéphane ASTIER

Auteur Stéphane ASTIER

Suivez-nous sur Linkedin