De nouveaux projets de certifications en matière de sécurité pilotés par l’ANSSI
« Les évolutions des technologies et du marché, la maturité des acteurs dans la perception des risques et les propositions de certification de niveaux substantiel et élémentaire apparaissant dans le projet de règlement de la Commission européenne en matière de certification de sécurité soulignent la nécessité de créer de nouveaux schémas de certification des prestataires de service, ou des produits soumis à des exigences de sécurité plus faibles.»
Pour assurer leur cohérence, l’ANSSI va accompagner la mise en place de ces nouvelles pratiques, et faire évoluer et compléter les dispositifs de certification existants.
« L’ANSSI a ainsi lancé mi-2018, un appel à manifestation d’intérêt (dit « AMI-certifUE ») pour identifier les acteurs qui souhaitaient se positionner sur la certification de sécurité de niveaux substantiel et élémentaire en France, et recueillir leurs recommandations. »
Une vingtaine d’entités, ont marqué leur intérêt et une bonne moitié a présenté une contribution. CNPP a participé aux échanges et a apporté sa contribution à ce projet.
Découvrez 4 raisons de confier ses audits de sécurité à un prestataire détenteur de la certification PASSI.
Parmi les actions proposées, on note « l’intégration de la certification de sécurité (et du processus associé) dans les exigences sectorielles (énergie, sécurité machine, …). »
En effet, « pour certains systèmes ou services, la cybersécurité sera aussi une composante de la sécurité (une attaque cyber pouvant conduire à une défaillance de performance ou de sécurité), par exemple en automobile, un système de contrôle commande dans une raffinerie, un système de sécurité incendie ».
Le risque cyber deviendrait ainsi un élément d’entrée de l’analyse de risque et il semblerait opportun pour les produits déjà couverts par un référentiel de certification volontaire, de compléter le schéma de certification avec l’aspect cybersécurité.
« À titre d’illustration, on peut citer la démarche engagée par CNPP(1) qui a intégré le volet cyber sécurité aux certifications et référentiels métier déjà existants pour les secteurs de la sûreté et de la sécurité incendie, cette approche garantissant la pleine prise en compte des exigences règlementaires, des exigences fonctionnelles « métier » spécifiques et de cyber sécurité pour des niveaux de risque s’inscrivant en amont du niveau CSPN (Certification de Sécurité de Premier Niveau) et donc pour des niveaux jugés substantiels, tout en pointant vers la CSPN pour les enjeux de sécurité dépassant le cadre générique prévu pour ce type d’équipements.
Cette approche a fait l’objet d’échanges et de coordination avec les différentes parties prenantes du secteur (assureurs, professionnels de la sécurité, exploitants de systèmes de sécurité) et avec l’ANSSI.
Elle répond, selon l’ANSSI, aux exigences typiquement requises pour le développement d’un schéma de certification tel que préconisé dans le Cybersecurity Act(2). »
Source : Analyse des contributions reçues suite à l’appel à manifestation d’intérêt sur la certification de sécurité de niveaux substantiel et élémentaire version 1.0, 7 octobre 2019
(1) Cybersécurité, garantissez la robustesse de vos produits de sécurité contre les attaques numériques
(2)Le règlement européen « Cybersecurity Act « a été signé en mars 2019 par les députés européens. Il a permis :
- l’adoption d’un mandat permanent pour l’ENISA , l’Agence européenne pour la cybersécurité, valorisant et développant son rôle de facilitateur des échanges entre les Etats membres.
- la définition d’un cadre européen de certification de cybersécurité pour harmoniser à l’échelle européenne les méthodes d’évaluation et les différents niveaux d’assurance de la certification. Les certificats délivrés bénéficieront d’une reconnaissance mutuelle au sein de l’UE.