Close
  • Français
  • English

25/07/2019La “nouvelle ENISA” : Europe Kicks off ! (par le général d’armée (2s) Watin-Augouard, fondateur du FIC)

Europe kicks off !

Telle était la base line du FIC 2019. Alors que l’Union européenne s’intéresse chaque année davantage au FIC, dont elle a favorisé la création, le FIC souhaitait soutenir les efforts qu’elle accomplit pour créer un espace numérique européen plus sûr et porteur de valeurs qui nous distinguent et nous rassemblent.

Malgré les vicissitudes, l’Europe numérique se réveille, il faut s’en réjouir, dès lors qu’elle complète les efforts accomplis par les Etats membres et offre un cadre favorable à une souveraineté partagée.  Elle est productrice de règlements et directives, les plus connus étant le RGPD et le directive NIS. Cette directive pose des exigences relatives aux capacités nationales de cybersécurité et instaure les premiers mesures destinées à renforcer les secteurs d’importance vitale à améliorer la coopération stratégique et opérationnelle entre les États membres.

Le règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019, relatif à l’Agence de l’Union européenne pour la cybersécurité (ENISA) et à la certification de cybersécurité des technologies de l’information et des communications a été publié au journal officiel de l’Union, le 7 juin. Il pérennise l’ENISA, dont le mandat allait s’achever en 2020, et crée une certification européenne à trois niveaux.

La « nouvelle ENISA », organisme de l’Union doté de la personnalité juridique, elle est désormais pérennisée. Son mandat (art. 3 du règlement) précise qu’elle doit fournir des conseils en matière de cybersécurité, favoriser la coopération opérationnelle à la fois entre les États membres et entre ceux-ci et les institutions, organes et organismes de l’Union. Elle a aussi pour mission d’apporter des compétences et jouer le rôle de centre d’information et de connaissance de l’Union. Elle doit encourager l’échange de bonnes pratiques entre les États membres et le secteur privé, proposer des actions à la Commission et aux États membres.

L’ENISA devra soutenir le développement et l’amélioration des centres de réponse aux incidents de sécurité informatique (CSIRT) nationaux et de l’Union prévus par la directive (UE) 2016/1148, afin qu’ils atteignent un niveau de maturité commun élevé dans l’ensemble de l’Union. Elle ne doit pas se substituer aux États membres mais doit être en mesure de leur fournir un appui, à leur demande.  L’ENISA devrait participer aux actions de coopération avec l’OCDE, l’OSCE ou l’OTAN, sans préjudice du caractère particulier de la politique de sécurité et de défense de tout État membre.

Le nouveau règlement favorise le recours à la certification européenne de cybersécurité en vue d’éviter la fragmentation du marché intérieur. Il institue le principe de reconnaissance mutuelle au sein de l’UE des certificats délivrés par un État membre. Il s’agit de construire un cadre européen de certification de cybersécurité homogène pour éviter la pratique du « shopping de certifications » qui joue sur la différence du niveau d’exigence entre les États membres. Du passé le règlement ne fait pas table rase puisqu’il ambitionne de « créer les conditions d’une transition en douceur des schémas existants relevant de ces systèmes vers les schémas relevant du nouveau cadre européen de certification de cybersécurité ». Selon le règlement, un « certificat de cybersécurité européen », est un document délivré par un organisme compétent attestant qu’un produit TIC, service TIC ou processus TIC donné a été évalué en ce qui concerne sa conformité aux exigences de sécurité spécifiques fixées dans un schéma européen de certification de cybersécurité. Un groupe des parties prenantes pour la certification de cybersécurité est établi. Ses membres sont sélectionnés par la Commission, parmi des experts reconnus représentant les parties prenantes concernées. Cette gouvernance de la certification doit adopter des schémas offrant trois niveaux : un niveau « élémentaire » pour les systèmes non critiques (objets grand public), un niveau « substantiel » et un niveau « élevé » pour les systèmes présentant les plus de risques aux cyberattaques.

Il était à craindre que la « nouvelle ENISA » soit un organisme supranational, tandis que les critères de certification favorisent le « moins disant » en optant pour le plus petit dénominateur commun. L’ANSSI – qui vient de fêter ses dix ans d’existence – ne pouvait voir ses efforts annihilés. Sur son site internet, elle exprime sa satisfaction.

Ancien inspecteur général des armées – Gendarmerie nationale, le général d’armée (2s) Watin-Augouard est le fondateur du FIC et dirige aujourd’hui le Centre de Recherche de l’Ecole des Officiers de la Gendarmerie Nationale (CREOGN).