15/10/2024
Actualité
EUCC : le renouveau de l’évaluation Critères Communs en Europe
Alexandre Deloup
Après plus de 25 ans d’existence à l’International et plus de 15 ans de reconnaissance en Europe, le schéma d’évaluation Critères Communs réalise sa grande mue. Depuis le 31 janvier 2024, l’Union Européenne a adopté le schéma de certification EUCC, marquant une révolution dans l’évaluation des Critères Communs. Chez AMOSSYS, notre Laboratoire Cyber agréé CESTI (Centre d’Evaluation de Sécurité des Technologies de l’Information) fera partie des premiers en Europe à mettre en œuvre ces nouvelles évaluations.
Dans cet article, nous vous présentons les principales nouveautés, les évolutions à prendre en compte et les opportunités offertes par les EUCC, et comment nous pouvons vous accompagner dans cette transition majeure.
Une certification harmonisée à l'échelle européenne
Depuis la normalisation du schéma Critères Communs en 1999 par l’International Organisation for Standardisation au sein de la norme ISO 15408, la France a participé à reconnaître les certificats étrangers et à faire reconnaître ses certificats à travers le monde.
Cette reconnaissance s’articule au travers de la signature de différents accords parmi lesquels le CCRA (Common Criteria Recognition Arrangement) pour l’International, et l’accord entre les membres du SOG-IS (Senior Officials Group Information Systems Security) pour l’Europe.
Toutefois, et bien que l’ensemble des CESTI se base sur le même schéma normatif et sur la même méthodologie d’évaluation (la fameuse CEM : « Common Evaluation Methodology for Information Technology Security Evaluation »), chaque pays appliquait ce schéma selon sa propre implémentation nationale, créant une fragmentation des certifications et des reconnaissances.
Avec le Cybersecurity Act adopté en 2019, l’Union Européenne a décidé de définir un cadre clair de certification de cybersécurité à l’échelle européenne afin d’unifier ces schémas et créer un ensemble de méthodes homogènes.
Standardisation de certification autour de 3 niveaux
Le Cybersecurity Act introduit trois niveaux de certification pour s’adapter aux différentes exigences du marché :
- Niveau « Élémentaire » : il est obtenu par auto-évaluation, idéal pour les produits grand public tels que les objets connectés (IoT).
- Niveau « Substantiel » : il est délivré par une autorité de certification après une évaluation (à minima de conformité) par un CESTI (tel que celui d’Amossys) ou un organisme accrédité ;
- Niveau « Élevé » : il requiert une évaluation approfondie de la robustesse du produit par un CESTI (tel que celui d’Amossys) et une validation par l’autorité de certification nationale (telle que l’ANSSI pour la France).
Cette structuration permet aux éditeurs et fabricants de choisir le niveau de certification le plus adapté à leurs produits et aux exigences de leurs marchés cibles.
Qu'est-ce que cela va changer ?
Dans les faits, les EUCC sont une nouvelle implémentation des Critères Communs, que l’ENISA (European Union Agency for Cybersecurity) a choisi comme premier schéma s’inscrivant dans le cadre du Cybersecurity Act.
Une implémentation de plus ? Non, plutôt huit de moins. EUCC sera le schéma unifié de référence pour réaliser des évaluations et certifications Critères Communs en Europe, en remplacement de l’ensemble des implémentations nationales basées sur l’accord SOG-IS. La certification de produits de sécurité, logiciels ou matériels, selon les Critères Communs va donc se poursuivre au travers des EUCC, aux niveaux Substantiel et Élevé.
Dans le cas de la France, la principale nouveauté résidera dans les organismes en charge de l’attribution des certificats :
- Niveau Substantiel (équivalent au niveau AVA_VAN 1 et 2 au niveau des Critères Communs) : Les certificats seront désormais délivrés par des organismes de certification privés et accrédités (alors qu’actuellement, ils sont délivrés par l’ANSSI)
- Niveau Élevé (équivalent au niveau AVA_VAN 3, 4 et 5 au niveau des Critères Communs) : Seule l’ANSSI sera autorisée à délivrer ces certificats.
Les certificats EUCC sont valables cinq ans (comme c’est le cas actuellement), avec des conditions de maintien et de surveillance clairement définies dans le schéma. Ces dispositions permettront de valider l’impact d’éventuelles futures vulnérabilités sur les produits et garantiront la pérennité de leur sécurité sans remettre en cause leur certification obtenue.
Une transition facilitée vers EUCC
Depuis l’adoption du schéma EUCC en janvier 2024, une période de transition d’un an est en cours avant la mise en œuvre effective du schéma le 27 février 2025. Pendant cette période, les certifications selon les Critères Communs actuels (sous accord SOG-IS) continueront d’être émises normalement.
Des procédures de conversion des certificats existants vers les certificats EUCC sont déjà prévues par l’ANSSI et l’ENISA pour faciliter la transition. De plus, des mécanismes de portage des évaluations en cours vers le nouveau schéma seront mis en place, permettant aux éditeurs de bénéficier des avantages d’EUCC sans interrompre leurs processus de certification en cours.
Les CESTI européens, ainsi que les agences nationales de certification sont en cours d’accréditation et d’agrément afin de pouvoir lancer les premières évaluations selon ce nouveau schéma dès la rentrée de septembre 2024, pour viser des certifications dès l’adoption du schéma en février 2025.
A terme, les certificats sous accord SOG-IS cesseront d’être émis au plus tard le 27 février 2026.
Et les autres schémas nationaux ?
Bien que l’EUCC vise à unifier les certifications basées sur les Critères Communs, il ne remplace pas tous les schémas nationaux. Par exemple, le schéma CSPN en France (promu par l’ANSSI) continuera d’exister, tout comme le schéma BSZ en Allemagne ou le BSPA aux Pays-Bas.
D’ailleurs, l’ANSSI et son homologue Allemand le BSI (Bundesamt für Sicherheit in der Informationstechnik) ont renouvelé en mai 2024 leur accord de reconnaissance mutuelle de certificats. Cet accord est une brique importante dans la collaboration européenne sur la certification de produits. Pour maximiser encore plus l’objectif européen de standardisation des schémas de certification, cet accord se base sur la norme FitCEM (Fixed Time Cybersecurity Evaluation Methodology for ICT products, EN 17640) qui vise, à terme, la mise en œuvre d’un standard européen de la certification de cybersécurité en temps contraint, qui s’inscrira très probablement dans le Cybersecurity Act (travaux en cours).
AMOSSYS : votre partenaire pour naviguer dans ce nouveau paysage
En tant que laboratoire CESTI français accrédité par le COFRAC (accréditation n°1-2190, portée disponible sur www.cofrac.fr) et agréé par l’ANSSI depuis près de quinze ans, AMOSSYS est en ordre de marche pour être en mesure de délivrer des évaluations de produits de sécurité sur les schémas EUCC et FitCEM (dès lors qu’il deviendra un standard européen), en plus des schémas CC et CSPN actuels.
Préparez-vous dès maintenant à l'arrivée d'EUCC
La mise en place du schéma EUCC est une très bonne opportunité pour renforcer la confiance de vos clients et partenaires dans vos produits. Démarrez dès aujourd’hui votre accompagnement à la certification pour faire partie des premiers certifiés EUCC en février 2025.
Pourquoi choisir AMOSSYS ?
- Expertise reconnue : Une expérience solide dans l’évaluation et la certification de produits de sécurité.
- Accompagnement sur mesure : Un soutien personnalisé tout au long du processus de certification.
- Anticipation des évolutions : Une veille constante pour vous informer et vous conseiller sur les évolutions réglementaires.
Contactez-nous dès aujourd’hui pour discuter de vos besoins et découvrir comment AMOSSYS peut vous aider à naviguer avec succès dans ce nouveau paysage de la certification en cybersécurité.
