Le certificat EUCC, un passeport pour le marché européen
Thales et STMicroelecrtonics sont les deux premières entreprises à obtenir le certificat european union common criteria (UECC) pour deux produits très différents : une carte tachygraphe et un microcontrôleur. Cette annonce a été faite le 3 avril dernier par l'Agence nationale de la sécurité des systèmes d'information (Anssi) qui leur a délivré le label.
Entré en vigueur en février 2024, l'EUCC vise à garantir la cohérence des référentiels de cybersécurité dans toute l'Union européenne (UE) pour les produits des technologies de l'information et de la communication (TIC). "Tout l'enjeux est d'arriver à avoir des règles communes pour que quand un produit est certifié dans un des Etats membres, il le soit au même niveau dans toute l'UE. Cela donne une voix à l'UE et une cohérence d'approche. Une référence commune remplace des références parcellaires et l'UE peut alors parler d'une seule voix", explique Benoit Jouffrey, vice-président innovations et technologies de Thales cyber & digital
Renforcement du marché commun des TIC
Le certificat EUCC prolonge et renforce le schéma senior officials group – information systems security (SOG-IS), qui provient d'un accord de coopération entre 17 pays européens permettant d'harmoniser l'évaluation et les certifications de cybersécurité des TIC. Le SOG-IS facilite aussi la reconnaissance mutuelle des certifications entre les Etats parties à l'accord. Actuellement, nous nous situons dans une "phase de transition dans laquelle l'ancien schéma et le nouveau coexistent", précise Benoit Jouffrey.
Cependant, l'EUCC étend l'harmonisation des critères communs aux 27 pays de l'UE car il émane directement de celle-ci. Cela permet à l'UE "de se positionner vis-à-vis des autres aires géographiques avec une voix beaucoup plus claire". Aussi, ayant été adopté dans le cadre de la mise en œuvre du cyber resilience act (CRA) qui vise à renforcer la cybersécurité des biens et services relatifs aux TIC, cette certification pourrait devenir une obligation pour commercialiser certains produits selon Benoit Jouffrey. En outre, conformément à ce que NIS 2 permet, les autorités compétentes nationales seront en droit d'exiger l'EUCC pour certains produits, rappelle Rayna Stamboliyska, fondatrice de RS Strategy.
Ce nouveau schéma certificateur participe donc à jeter les bases d'un marché commun des TIC au moyen duquel les différences de provenance des produits concernés s'estompent clairement au sein de l'UE. Même si son obtention reste essentiellement volontaire, Benoit Jouffrey précise qu'elle permet de "se différencier" au sein du marché européen des TIC. D'ailleurs, c'est la raison pour laquelle Thales a prévu de certifier encore d'autres produits. Comme l'explique Rayna Stamboliyska, en obtenant cette certification, les entreprises vont pouvoir "démontrer une qualité confirmée par un tiers indépendant prouvant leur maturité et le niveau de sécurité de leurs produits", ce qui leur attirera de nouveaux clients européens.
Une certification accessible aux PME
La certification EUCC est valable cinq ans et comprend sept niveaux. Tandis que les niveaux un à cinq sont substantiels et rapides à évaluer, les niveaux six et sept sont plus difficilement atteignables. Ces derniers peuvent nécessiter plusieurs années d'évaluation de la part de l'organisme qui en est chargé car le produit doit subir des tests permettant de prouver sa cybersécurité par une démonstration très complexe. La longue durée de validité de la certification et ses différences de niveaux permettent à des petites et moyennes entreprises, souvent freinées par la lenteur et le coût de l'évaluation, de l'obtenir en visant ses premiers paliers.
En outre, ajoute Benoit Jouffrey, les entreprises peuvent comparer les prix pratiqués par tous les organismes d'évaluation de l'UE opérant pour l'EUCC et choisir celui, même situé à l'étranger, qui correspond le mieux à leurs attentes en termes de coûts. C'est pourquoi il explique que cette certification "n'est donc pas réservée aux grands groupes comme Thales".