Cybersecurity Act : certification et souveraineté numérique

Section : Politique | Mots-clés : Cybersecurity act, Politique

Le Cybersecurity Act, désigné par le Règlement (UE) 2019/881, établit un cadre pour la sécurité numérique au sein de l’Union européenne. Entré en vigueur en juin 2019, ce texte unifie les certifications nationales fragmentées et pérennise le rôle de l’Agence européenne pour la cybersécurité (ENISA). En standardisant les exigences de sécurité, ce règlement redéfinit la manière dont les entreprises et les administrations publiques garantissent la confiance numérique.

Table des matières

Le mandat permanent de l’ENISA : Un pilier pour la résilience européenne

Le Cybersecurity Act confère à l’ENISA un mandat permanent. Auparavant soumise à des renouvellements périodiques, l’agence bénéficie désormais d’une stabilité institutionnelle permettant une planification stratégique à long terme. Elle s’impose comme le centre névralgique de la résilience européenne. L’agence coordonne les États membres, assiste la mise en œuvre des politiques de sécurité et facilite la coopération transfrontalière. Elle soutient le réseau des CSIRTs, ces équipes d’intervention d’urgence mobilisées lors de cyberattaques majeures. Cette structuration permet une réponse harmonisée à l’échelle du continent, évitant que chaque pays ne traite les menaces de manière isolée. Concernant la certification, l’ENISA prépare les bases techniques des schémas européens. En collaborant avec les experts nationaux et les acteurs du marché, l’agence définit des exigences de sécurité pour les produits TIC qui sont à la fois rigoureuses et adaptées aux réalités industrielles.

Schéma des trois niveaux d'assurance du Cybersecurity Act : élémentaire, substantiel et élevé — Schéma des trois niveaux d’assurance du Cybersecurity Act : élémentaire, substantiel et élevé

Le cadre de certification européen : Vers la fin de la fragmentation

Avant ce règlement, les entreprises devaient obtenir des certifications distinctes dans chaque État membre pour commercialiser un produit sécurisé, comme la certification CSPN en France. Ce processus ralentissait l’innovation. Le cadre européen de certification de cybersécurité (ECCF) instaure la reconnaissance mutuelle : un certificat délivré dans un pays membre est valable dans toute l’Union. Le règlement définit trois niveaux d’assurance proportionnels aux risques. Le niveau élémentaire concerne les produits à faible risque comme les objets connectés grand public, avec une auto-évaluation ou un audit simple. Le niveau substantiel s’applique aux services cloud et logiciels d’entreprise, nécessitant une vérification par un tiers indépendant. Le niveau élevé cible les infrastructures critiques et systèmes industriels complexes, exigeant des tests de pénétration approfondis. Bien que la certification reste majoritairement volontaire, la Commission européenne peut rendre certains schémas obligatoires pour les secteurs critiques. Obtenir cette certification constitue un avantage concurrentiel, signalant la transparence aux clients et simplifiant l’accès aux marchés publics.

La gestion de la supply chain et les fournisseurs à haut risque

Le Cybersecurity Act englobe l’ensemble de la supply chain TIC. La sécurité d’une organisation dépend de celle de ses partenaires. Le règlement encourage une évaluation rigoureuse des fournisseurs pour limiter les vulnérabilités héritées de composants tiers. La notion de fournisseur à risque est devenue centrale, notamment dans les débats sur les équipements 5G. Le cadre législatif permet aux États membres de définir des critères de sécurité stricts pour les infrastructures critiques. Cette approche sécurise l’autonomie stratégique de l’Europe en évitant une dépendance excessive envers des acteurs dont la gouvernance pose des risques pour la souveraineté numérique. Chaque composant logiciel ou service tiers intégré laisse une empreinte sur la surface d’attaque d’une organisation. Cette visibilité, souvent diluée dans des couches de sous-traitance, nécessite une cartographie précise. Le Cybersecurity Act impose d’identifier ces influences pour garantir l’intégrité globale du système. Un amendement adopté début 2024 étend le champ d’application aux services gérés. Dès 2025, les prestataires de services de sécurité managés (MSSP) devront respecter ces standards, assurant que l’externalisation offre les mêmes garanties de confiance que les produits matériels.

Anticiper la révision de 2026 : Enjeux et conformité

Le Cybersecurity Act est un texte évolutif. Une clause de révision prévue pour janvier 2026 évaluera l’efficacité du règlement et l’impact des schémas de certification. Cette échéance est déterminante pour les décideurs, car elle pourrait marquer le passage vers une obligation de certification pour de nombreuses catégories de produits. Le règlement forme un ensemble cohérent avec la directive NIS 2 et le Cyber Resilience Act (CRA). Alors que le CRA fixe les exigences de sécurité pour la mise sur le marché, le Cybersecurity Act fournit les outils de preuve de conformité. Anticiper la révision de 2026 implique d’aligner dès maintenant les processus de développement sur ces standards européens. Les fabricants et fournisseurs doivent réaliser un audit des actifs pour identifier les produits concernés par les schémas actuels. Ils doivent mener une analyse d’écart pour mesurer la distance entre leurs pratiques et les exigences des niveaux d’assurance. La structuration de la documentation technique est nécessaire pour apporter les preuves de conformité. Enfin, une veille réglementaire active sur les publications de l’ENISA, notamment concernant l’intelligence artificielle, est indispensable. Ce cadre réglementaire transforme la contrainte en levier de croissance, permettant aux acteurs européens de rivaliser sur la base de la qualité tout en offrant aux utilisateurs une transparence inédite sur la protection de leurs données.