Le règlement adopté par le Parlement et actuellement soumis au Conseil vise à créer des schémas européens de certification de cybersécurité pour les “services de sécurité gérés”, en plus de ceux concernant les produits TIC, services TIC et processus TIC, déjà couverts par le règlement cybersécurité.
Sont soumis à ce nouveau règlement “les services de sécurité gérés, qui consistent à effectuer des activités liées à la gestion des risques en matière de cybersécurité de leurs clients ou à fournir une assistance dans le cadre de ces activités” précise le texte.
Ce sont par exemple, les services d’antivirus, les services de protection de terminaux, les services de réponses aux incidents ou de détection et de vulnérabilité ou encore les conseils en sécurité… “Les fournisseurs de tels services sont considérés comme des entités essentielles ou importantes appartenant à un secteur hautement critique au titre de la directive (UE) 2022/2555 du Parlement européen et du Conseil (NIS2)“, complète le texte.
Les fournisseurs de services de sécurité gérés dans des domaines comme la réaction aux incidents, les tests d’intrusion, les audits de sécurité et le conseil jouent un rôle particulièrement important pour soutenir les efforts des entités visant à prévenir et détecter les incidents, à y réagir ou à se rétablir après ceux-ci. Le problème est que ces fournisseurs de services de sécurité gérés sont eux-mêmes la cible de cyberattaques et, en raison de leur forte intégration dans les activités des opérateurs, ils représentent un risque particulier. “Les entités essentielles et importantes au sens de la directive (UE) 2022/2555 doivent donc faire preuve d’une diligence renforcée lorsqu’elles sélectionnent leurs fournisseurs de services de sécurité gérés“.
Des niveaux de confiance élémentaire, substantielle ou élevée
Ainsi, le schéma européen de certification de cybersécurité pour les services de sécurité gérés a pour ambition les objectifs de sécurité suivants :
“a) faire en sorte que les services de sécurité gérés soient fournis avec la compétence, l’expertise et l’expérience requises, en garantissant que le personnel chargé de fournir ces services possède un très haut niveau de compétence et de connaissances techniques dans le domaine spécifique, une expérience suffisante et appropriée et la plus haute intégrité professionnelle ;
b) faire en sorte que le fournisseur ait mis en place des procédures internes appropriées pour garantir que les services de sécurité gérés sont fournis à tout moment à un niveau de qualité très élevé ;
c) protéger les données consultées, stockées, transmises ou traitées dans le cadre de la fourniture de services de sécurité gérés contre tout accès, stockage, diffusion, destruction ou autre traitement accidentel ou non autorisé, ou contre toute perte, altération ou indisponibilité ;
d) faire en sorte que la disponibilité des données, services et fonctions ainsi que l’accès à ceux-ci soient rétablis dans les plus brefs délais en cas d’incident physique ou technique ;
e) faire en sorte que les personnes autorisées, les programmes ou les machines ne puissent accéder qu’aux données, services ou fonctions concernés par leurs droits d’accès ;
f) garder une trace des données, services ou fonctions consultés, utilisés ou traités, du moment où ils l’ont été et par qui, et faire en sorte qu’il soit possible d’évaluer ces éléments ;
g) faire en sorte que les produits TIC, services TIC et processus TIC (ainsi que le matériel) déployés dans le cadre de la fourniture des services de sécurité gérés soient sécurisés par défaut et dès la conception, qu’ils ne contiennent pas de vulnérabilités connues et qu’ils incluent les dernières mises à jour de sécurité.”
Les niveaux d’assurance seraient, à l’image des signatures électroniques, classés en élémentaire, substantiel ou élevé.
“La certification des services de sécurité gérés est non seulement pertinente dans le processus de sélection de la réserve de cybersécurité de l’UE, mais elle constitue également un indicateur de qualité essentiel pour les entités privées et publiques qui souhaitent acquérir de tels services. Compte tenu de la criticité des services de sécurité gérés et de la sensibilité des données qu’ils traitent, la certification pourrait fournir aux clients potentiels des orientations et une assurance importantes quant à la fiabilité de ces services. Les schémas européens de certification pour les services de sécurité gérés contribuent à éviter la fragmentation du marché unique. Le présent règlement vise donc à améliorer le fonctionnement du marché intérieur“, précise le règlement.
Le texte est également complémentaire de la proposition de règlement sur la cybersolidarité. La proposition de règlement sur la cybersolidarité met en place un processus de sélection des fournisseurs en vue de constituer une réserve de cybersécurité au niveau de l’UE, qui devrait notamment tenir compte du fait que ces fournisseurs ont obtenu une certification européenne ou nationale en matière de cybersécurité.
Les futurs systèmes de certification pour les services de sécurité gérés joueront donc un rôle important dans la résilience de l’UE.
