> Digital Corner > FIC 2020 : Cybersecurity Act, un an après

FIC 2020 : Cybersecurity Act, un an après

Digital Corner - Par Agence Com4médias - Publié le 13 février 2020
email

De nouveau au cœur de l’actualité ces derniers jours, la souveraineté numérique européenne de demain s’appuiera sur un texte fort et fondateur : le Cybersecurity Act. À l’occasion du FIC 2020, Matthieu Bonenfant, Directeur Marketing de Stormshield, a participé à une table-ronde sur le sujet. Éclairages.

FIC 2020 : Cybersecurity Act, un an après

Des certifications au cœur de la confiance européenne

Adopté par le Parlement européen en mars 2019 et paru au Journal Officiel de l’Union européenne en juin 2019, c’est peu dire que le Cybersecurity Act fait couler beaucoup d’encre. Mais près d’un an après son adoption, que retenir des premières orientations et actions concrètes ? Deux volets sont primordiaux dans ce règlement : l’établissement d’un mandat permanent pour l’ENISA (l’agence de l’Union européenne chargée de la sécurité des réseaux et de l’information) et la mise en place d’un cadre de certifications européennes.

Sur ce dernier point, Stormshield est un maillon essentiel, en tant qu’acteur européen autour de la protection des infrastructures critiques, qu’elles soient IT ou OT, et des données sensibles. « Les sujets autour de la confiance, de la certification et de la qualification sont dans notre ADN ». Quinze années d’expérience des certifications européennes et des qualifications nationales sont venues asseoir l’expertise de Stormshield. « Les entreprises qui font le choix de nos solutions sont très sensibles aux notions de confiance. »

 

Vers l’harmonisation européenne

Pour répondre aux enjeux stratégiques d’une souveraineté numérique à l’échelle européenne, l’Union européenne s’attelle à développer un cadre propre. « Ce cadre européen vient combler certaines faiblesses de la situation actuelle, où chaque pays mature en matière de cybersécurité a ses propres schémas de certifications et où les pays moins matures en sont dépourvus. Même si l’accord européen SOG-IS apporte déjà un premier niveau de reconnaissance mutuelle, il reste limité à certains pays. Avec cette avancée réglementaire, la certification d’une technologie, d’un produit, d’un service ou d’un processus dans un État membre, entraîne la reconnaissance du certificat dans l’intégralité des pays membres ».

De quoi contrer la fragmentation du marché européen, somme de plusieurs marchés nationaux.

 

Téléchargez gratuitement cette ressource

5 clés de supervision Multi Cloud

5 clés de supervision Multi Cloud

A l’heure du Software Defined Everything (SDx) la conception et l’exploitation de logiciels sont plus complexes que jamais, ce nouvel eBook décrit les éléments clés à prendre en compte lors de la transition vers les technologies, les plates-formes et les éléments logiciels modernes afin de tirer tout le potentiel des solutions Multi cloud d'entreprise.

Une avancée nuancée

Face à une sensibilité disparate aux problématiques de cybersécurité, « on perçoit une réelle avancée qui va élever le niveau d’exigence ».

Toutefois, notons que dans des pays déjà matures comme la France ou l’Allemagne, « si les schémas de certifications font déjà leurs preuves pour les produits et services de cybersécurité, notamment en matière de cryptographie, les niveaux d’exigence nationaux sont souvent bien plus élevés que dans ce nouveau règlement européen ». On y retrouve ainsi par exemple des audits de code source ou de process de développement. S’il n’y a pas de recouvrement avec les schémas européens, il est prévu que chaque État membre puisse conserver ses propres schémas nationaux de certification ou qualification. La France devrait ainsi vraisemblablement conserver ses schémas propres, autour de la qualification standard et renforcée. « Le cadre européen de certification est une vraie progression, une première étape, mais nous pensons qu’il faut aller bien plus loin pour étendre l’harmonisation aux niveaux d’exigence plus élevés ».

 

Les difficultés de la souveraineté numérique

La mission de l’ENISA devra contribuer à réduire la dépendance de l’Union européenne face aux autres technologies internationales (qu’elles soient américaines, russes, chinoises ou encore israéliennes). Mais le plan de route reste encore à écrire. « S’il n’y a pas d’alternative européenne, on tombe dans la dépendance et les libertés sont menacées. Au sein d’un marché de produits de cybersécurité essentiellement mené par les technologies américaines, israéliennes, asiatiques, l’Europe peine à exister ».

Mais le dynamisme, l’effervescence technologique et le vivier des talents européens affrontent des limites structurelles : le difficile passage à l’échelle des startups (barrière de la langue, marchés morcelés…) et l’investissement réduit. « Loin de songer à n’utiliser que des technologies européennes, il faut créer les conditions pour que les technologies européennes de cybersécurité puissent passer à l’échelle et devenir de sérieux compétiteurs sur l’échiquier mondial ».

 

Le Cybersecurity Act marque ainsi une véritable avancée, car son application renforce la sécurité du marché numérique européen. Une première étape encourageante qui en appelle d’autres !

 

Plus d’informations sur Stormshield

Digital Corner - Par Agence Com4médias - Publié le 13 février 2020

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT