EUCC - UN NOUVEAU SYSTÈME DE CYBERSÉCURITÉ POUR LA CERTIFICATION DES PRODUITS TIC EN EUROPE

La certification de cybersécurité de l'Union européenne (EUCC) représente une nouvelle approche de la certification des produits des technologies de l'information et de la communication (TIC) en Europe, mettant à jour le précédent cadre de l'accord de reconnaissance mutuelle (ARM) SOG-IS.

L'EUCC repose sur le système de certification des Critères Communs (CC), qui intègre des concepts novateurs reconnus au niveau international pour répondre aux besoins des parties prenantes, notamment des dispositions améliorées pour la gestion des correctifs, la gestion des vulnérabilités et la divulgation des vulnérabilités dans les produits certifiés.

CC (Common Criteria)

Les CC(Common Criteria) désignent un ensemble international de normes, de lignes directrices et de critères utilisés pour évaluer les capacités de sécurité de divers produits et systèmes. Développées à l'origine pour garantir que les offres technologiques sont conformes à des critères de sécurité spécifiques et à des directives gouvernementales, les CC servent de référence pour évaluer l'efficacité et la précision des mesures de sécurité.

En définissant des garanties basées sur des mesures d'efficacité et de précision, le CC sert de rempart contre les défis prévalents de la cybersécurité tels que les violations de données, les fuites d'informations et les atteintes à la vie privée.

Après un examen rigoureux et une évaluation approfondie par des experts, les produits technologiques jugés conformes aux normes requises reçoivent une certification CC reconnue.

Il est impératif de saisir les principes fondamentaux et la logique sous-jacente de la CC pour comprendre les protocoles de cybersécurité universellement applicables et décrypter la nouvelle initiative de l'EUCC.

L'EUCC

Le système EUCC s'appuie sur les éléments fondamentaux du CC et étend son application aux produits technologiques au sein de l'Union européenne. L'EUCC introduit des critères supplémentaires en plus des protocoles CC et de la méthodologie commune d'évaluation de la sécurité des technologies de l'information (CEM) [5].

Les améliorations apportées aux certifications de cybersécurité impliquent une surveillance et une gestion accrues des mesures de conformité, une plus grande transparence grâce à la diffusion d'informations sur les vulnérabilités au public, et une assistance élargie aux consommateurs, telle que des services complets de gestion des correctifs pour les produits certifiés.

L'EUCC est mis en œuvre pour les produits TIC qui

• intègrent un ensemble significatif de prérequis fonctionnels de sécurité décrits dans la partie 2 du CC [3].
• s'efforcent d'atteindre un niveau d'assurance "substantiel" ou "élevé" pour les composants de la loi sur la cybersécurité de l'UE (CSA) couverts par l'EUCC.

Comparaison de l'EUCC avec les systèmes existants

Critères et méthodes d'évaluation des produits TIC

Pour être conformes à l'EUCC, les cibles de sécurité (ST) doivent inclure les exigences CC suivantes, quel que soit leur niveau d'assurance ou les dépendances associées :

1. Au moins un composant AVA_VAN.
2. Au moins un composant ATE_IND.

Pour les certificats EUCC évalués au niveau d'assurance"substantiel", les certificats doivent englober le niveau 1 ou 2 d'AVA_VAN. Pour les certificats évalués au niveau d'assurance"élevé", la couverture des niveaux 3, 4 ou 5 d'AVA_VAN est requise.

La certification de produits TIC aux niveaux 4 ou 5 d'AVA_VAN est limitée à des scénarios spécifiques :

• Si le produit appartient à un domaine technique listé à l'annexe I du règlement EUCC [1], il est évalué selon les documents de l'état de l'art de ces domaines.
• Les produits TIC appartenant à des catégories couvertes par des profils de protection certifiés (PP) avec des niveaux AVA_VAN 4 ou 5 énumérés à l'annexe II du règlement EUCC [1] sont évalués selon la méthodologie spécifiée pour ces PP.
• Dans les cas exceptionnels où un domaine technique ou un PP n'est pas répertorié, la certification à ces niveaux est possible moyennant des processus de justification et d'approbation approfondis par les autorités nationales de certification en matière de cybersécurité (NCCA) et le Groupe européen de certification en matière de cybersécurité (European Cybersecurity Certification Group).

Note: L'EUCC ne reconnaît pas les certificats de l'Arrangement de reconnaissance des Critères Communs (ARCC) pour les PP. Par conséquent, l'évaluation des STs revendiquant la conformité aux CCRA/non-EUCCPP considérera le contenu du PP comme non évalué.

Remarque: l'ENISA devrait fournir la liste des PP certifiés sur son site web de certification en cybersécurité et indiquer leur statut, conformément au règlement (UE) 2019/881.

Informations nécessaires à la certification

Outre la cible d'évaluation (TOE) exigée par le CC, les candidats doivent également fournir :

1) Un site web accessible au public contenant les informations suivantes lors de la délivrance du certificat :

• Lignes directrices et suggestions pour aider les utilisateurs finaux à configurer, installer, déployer, exploiter et maintenir en toute sécurité les produits ou services TIC.
• Durée de l'assistance en matière de sécurité fournie aux utilisateurs finaux, notamment en ce qui concerne la disponibilité des mises à jour de cybersécurité.
• Les coordonnées du fabricant ou du fournisseur, ainsi que les canaux approuvés pour recevoir les rapports de vulnérabilité des utilisateurs finaux et des experts en sécurité.
• Liens vers des référentiels en ligne cataloguant les vulnérabilités divulguées publiquement en rapport avec le produit, le service ou le processus TIC, ainsi que les avis pertinents en matière de cybersécurité.

2) Des procédures de gestion et de divulgation des vulnérabilités facilitant le respect des obligations énoncées au chapitre VI du règlement CCUE [1].

Remarque: tous les documents relatifs au certificat de la TOE doivent être conservés pendant au moins cinq ans, y compris un échantillon du produit certifié.

Conditions de délivrance d'un certificat EUCC

Le vendeur doit accepter de s'acquitter des obligations suivantes :

• Fournir à l'organisme de certification et au Centre d'évaluation de la sécurité des technologies de l'information (CESTI) toutes les informations nécessaires, exactes et complètes, et fournir des détails supplémentaires sur demande.
• S'abstenir de commercialiser le produit TIC comme étant certifié par l'EUCC jusqu'à ce que le certificat de l'EUCC ait été officiellement délivré.
• Commercialiser le produit TIC comme étant certifié uniquement dans le cadre des paramètres décrits dans le certificat de l'EUCC.
• Cesser immédiatement de promouvoir le produit TIC comme étant certifié en cas de suspension, de retrait ou d'expiration du certificat de l'EUCC.
• Veiller à ce que tout produit TIC annoncé comme certifié par l'EUCC soit exactement identique à celui qui a fait l'objet de la certification.
• Respecter les règles prescrites régissant l'utilisation de la marque et du label du certificat de l'EUCC, comme indiqué à l 'article 11 du règlement de l'EUCC [1].

Remarque: l'utilisation de la nouvelle marque et du nouveau label de l'EUCC sur le produit certifié est volontaire.

Choix d'un organisme de certification (OC) et du FITS

Les OC commerciaux procéderont à la certification au niveau de l'assurance substantielle (AVA_VAN.n ; n<3). Il est prévu que la plupart des CESTI existants deviennent des OC pour le niveau d'assurance substantielle. Pour le niveau d'assurance substantiel, la procédure habituelle consiste à sélectionner un prestataire capable d'effectuer à la fois l'évaluation et la certification.

L'évaluation et la certification au niveau d'assurance élevé (AVA_VAN.n ; n 2) exigent des NCCA qu'elles autorisent à la fois les FEIS et les OC. Les OC existants du SOG-IS devraient obtenir le statut d'autorisation. Pour le niveau d'assurance élevé, il est d'usage de faire appel à un OC gouvernemental ainsi qu'à un CESTI autorisé relevant de sa compétence, en fonction du domaine technique et du PP applicable.

Gestion du processus d'évaluation et de certification du CCUE

La mise en œuvre du processus d'évaluation et de certification de l'EUCC ressemblera beaucoup aux pratiques actuelles dans le cadre du SOG-IS, les OC et les FSTI établissant leurs conditions contractuelles.

L'EUCC assigne des actions et des responsabilités spécifiques aux FSTI et aux OC en ce qui concerne le contrôle de la conformité(chapitre V du règlement de l'EUCC [1]), qui sont généralement incorporées dans les accords contractuels avec les demandeurs de certificats.

Obligations post-acquisition des détenteurs de certificats EUCC

Après la délivrance du certificat EUCC, outre le respect des engagements stipulés à l'article 9 du règlement EUCC [1], les titulaires de certificats sont tenus de mettre en œuvre les processus et activités suivants pendant toute la durée de validité du certificat :

• Contrôler régulièrement les renseignements sur les vulnérabilités concernant la TOE certifiée(article 27 du règlement de l'EUCC [1]).
• Fournir une assistance pour rectifier les non-conformités(article 29 du règlement de l'EUCC [1]).
• Traiter et divulguer les vulnérabilités ayant un impact sur la TOE certifiée(chapitre VI du règlement de l'EUCC [1]).

Responsabilités de surveillance des titulaires de certificats EUCC

Les titulaires de certificats EUCC doivent entreprendre les actions suivantes pour s'assurer que le produit TIC certifié respecte leurs normes de sécurité :

1) Prendre connaissance des informations relatives aux vulnérabilités concernant le produit TIC certifié, ce qui implique de surveiller les dépendances connues par des moyens internes, ainsi que de prendre en compte :

• Les publications ou divulgations d'informations sur les vulnérabilités par les utilisateurs finaux ou les chercheurs en sécurité, comme indiqué à l'article 55, paragraphe 1, point c), du règlement (UE) 2019/881 ;.
• Les soumissions provenant de toute autre source pertinente.

2) Suivre de près le niveau d'assurance défini dans le certificat de l'EUCC.

En outre, le titulaire du certificat doit obligatoirement collaborer avec l'OC, le FEIS et, le cas échéant, l'ANCC pour les aider dans leurs efforts de contrôle.

Aide à la correction des non-conformités

En cas de problème de non-conformité affectant la TOE ou le titulaire du certificat, les formations décrites dans les articles 28 et 29 du règlement du CCUE [1] définissent la formation nécessaire. Le fait de ne pas traiter ces questions peut entraîner la suspension ou le retrait du certificat.

Le titulaire du certificat EUCC est tenu de prendre des mesures correctives dans les 30 jours.

Surveillance et divulgation des vulnérabilités

Le chapitre VI du règlement EUCC [1] décrit les procédures essentielles de gestion et de divulgation des vulnérabilités qui doivent être adoptées par les titulaires de certificats EUCC. Bien que l'EUCC ne prescrive pas de délais spécifiques pour ces processus, il adhère au principe d'éviter les retards injustifiés.

Deux normes associées, EN ISO/IEC 30111 [6] et EN ISO/IEC 29147 [7], sont référencées comme étant utiles pour faciliter ces processus, bien qu'elles ne soient pas obligatoires.

Maintenance des certificats

L'EUCC propose les options suivantes pour maintenir un certificat :

Réévaluation

S'il devient nécessaire d'évaluer les effets des modifications du paysage des menaces sur un produit TIC certifié non modifié, une demande de réévaluation doit être transmise à l'OC. Le FSTI procédera à cette réévaluation, en s'appuyant sur toutes les conclusions pertinentes qui restent applicables. Cette procédure peut aboutir à l'extension du certificat EUCC, à la confirmation ou à la révision du niveau d'assurance antérieur.

Changements apportés à un produit TIC certifié

Cette procédure ressemble au concept de "continuité de l'assurance" du SOG-IS, bien qu'elle en diffère par le fait qu'elle ne fournit pas de critères explicites pour catégoriser les changements comme étant mineurs ou majeurs.

Gestion des correctifs

Les mécanismes et procédures de gestion des correctifs doivent être inclus dans le périmètre d'assessment et de certification dans les cas suivants :

• Lorsque les fonctionnalités affectées par le correctif sont situées en dehors de la TOE du produit TIC certifié.
• Lorsque le correctif concerne une modification mineure prédéterminée du produit TIC certifié.
• Lorsque le correctif traite une vulnérabilité confirmée, avec des implications significatives pour la sécurité du produit TIC certifié.

Le protocole de gestion des correctifs pour un produit TIC comprend les éléments suivants :

• La procédure de développement et de publication des correctifs pour le produit TIC.
• Les mécanismes techniques et les fonctionnalités permettant d'intégrer les correctifs dans le produit TIC.
• Une série d'activités d'assessment concernant l'efficacité et la performance des mécanismes techniques.

Toutefois, l'option de gestion des correctifs ne s'applique pas au traitement des vulnérabilités non critiques, qui doivent être traitées conformément à l'article 13 du règlement EUCC [1].

Le processus de transition législative

Le règlement EUCC sera appliqué à partir du 27 février 2025. Dans les 12 mois suivant cette date, les systèmes nationaux de certification en cybersécurité existants cesseront leurs activités. Il est important que les fournisseurs sachent que toute procédure de certification entamée dans les 12 mois suivant l'entrée en vigueur de la législation devra être achevée au plus tard en février 2027.

Exigences fonctionnelles de sécurité (SFR) et exigences d'assurance de sécurité (SAR)

La nouvelle certification EU CC peut être mise en œuvre au-dessus de l'ancienne et de la nouvelle version de la norme Critères Communs. De ce point de vue, il n'y a pas de changement pour les SFR et les SAR basées sur la partie 2 [3] et la partie 3 [4] de la norme CC, car le système CC de l'UE s'appuie sur les éléments fondamentaux de la norme CC et introduit des critères supplémentaires en plus des protocoles CC et de la méthodologie commune d'évaluation de la sécurité des technologies de l'information (CEM) [5]. Bien entendu, entre l'ancienne (CC V3.1) et la nouvelle (CC:2022) version des Critères Communs, il existe des différences en termes de SFR et de SAR, que les développeurs et les laboratoires doivent prendre en compte.

Remarque: il est possible que des modifications concernant les SFR et les SAR soient publiées par l'EUCC à l'avenir.

RÉFÉRENCES

[1] RÈGLEMENT D'EXÉCUTION (UE) 2024/482 DE LA COMMISSION du 31 janvier 2024 établissant les modalités d'application du règlement (UE) 2019/881 du Parlement mondial et du Conseil concernant l'adoption du système mondial de certification en matière de cybersécurité fondé sur les Critères communs (EUCC).

[2] [CC Partie 1] Critères communs d'évaluation de la sécurité des technologies de l'information Partie 1 : Introduction et modèle général.

[3] [CC Partie 2] Critères communs pour l'évaluation de la sécurité des technologies de l'information Partie 2 : Composants fonctionnels de sécurité

[4] [CC Partie 3] Critères communs pour l'évaluation de la sécurité des technologies de l'information Partie 3 : Composants d'assurance de la sécurité

[5] [CEM] Méthodologie commune pour l'évaluation de la sécurité des technologies de l'information, Méthodologie d'évaluation

[6] ISO/IEC 30111:2019 Techniques de sécurité des technologies de l'information Processus de traitement des vulnérabilités

[7] ISO/IEC 29147:2018 Techniques de sécurité des technologies de l'information Divulgation des vulnérabilités