Évaluation du Cadre européen de certification de cybersécurité et de l’agence européenne ENISA : un rôle à optimiser et des faiblesses majeures

 

Un rapport sur l'ECCF (Cadre européen de certification de cybersécurité) et de l’agence de l'ENISA) a été publié qui présente un bilan contrasté. Concernant l'ENISA, l’agence pour la cybersécurité a rempli l'essentiel de son mandat, prouvant sa flexibilité lors de crises majeures comme la pandémie ou la guerre en Ukraine. Elle reste toutefois entravée par un manque de ressources et des difficultés de recrutement d'experts spécialisés. Quant au bilan de l'ECCF, il est plus en retrait. Son impact demeure largement potentiel, faute de schémas de certification pleinement opérationnels. Sa mise en œuvre a subi des délais majeurs et des blocages politiques liés à la souveraineté des données. Malgré une valeur ajoutée européenne reconnue, le rapport préconise une priorisation stratégique accrue et une révision de la gouvernance pour transformer ce potentiel en efficacité concrète.

Quels sont les éléments principaux du rapport ?

L'évaluation de l'ENISA pour la période 2017-2023 met en évidence son rôle crucial en tant qu'acteur central de la cybersécurité en Europe. L'agence est saluée pour sa flexibilité opérationnelle, sa capacité à fédérer les États membres et la qualité de son expertise technique. Ceci dit, l'évaluation de l'ENISA pour la période 2017-2023 identifie plusieurs points d'amélioration et défis structurels qui limitent l'impact de l'agence. Les critiques portent principalement sur le manque de ressources, les difficultés de recrutement et une visibilité insuffisante auprès du secteur privé.

Quant au bilan de l'ECCF (Cadre européen de certification de cybersécurité) pour la période 2017-2023, il met en avant plusieurs avancées stratégiques, bien que le cadre soit encore dans une phase de transition où son potentiel est jugé plus important que ses réalisations pratiques immédiates. Bien que l’ECCF soit considéré comme un outil prometteur, son bilan pour la période 2017-2023 révèle des faiblesses majeures, notamment des délais excessifs, une politisation des débats techniques et une fragmentation persistante du marché.


Qu’est-ce que le Cadre européen de certification de cybersécurité (ECCF) ?

Le Cadre européen de certification de cybersécurité (ECCF) est un système institué par le Règlement sur la cybersécurité (Cybersecurity Act - CSA) visant à établir une approche unifiée et horizontale de la certification de cybersécurité au sein de l'Union européenne.

L'ECCF a été conçu pour répondre à six besoins essentiels du marché européen :

• Harmonisation du marché : Créer des règles communes pour éviter la fragmentation entre les États membres concernant la certification des produits, services et processus TIC (Technologies de l'Information et de la Communication).
• Renforcement de la confiance : Promouvoir une confiance accrue des entreprises et des consommateurs dans le marché unique numérique.
• Amélioration de la résilience : Établir des normes de sécurité élevées et favoriser la "sécurité dès la conception" (security by design) et par défaut.
• Réduction des charges : Diminuer les obstacles administratifs et les coûts liés à la certification pour les entreprises opérant au-delà des frontières nationales.

Comment fonctionne l’ECCF ?

Le cadre repose sur la création de schémas européens de certification de cybersécurité spécifiques à certaines catégories de produits ou services (comme le cloud ou la 5G). Ce cadre : 

• couvre l'ensemble du cycle de vie des produits, services et processus TIC afin de garantir l'intégrité, la confidentialité et la disponibilité des données.
• vise à accroître la clarté sur le niveau d'assurance de sécurité des produits mis sur le marché.

La mise en œuvre de l'ECCF repose sur une collaboration entre plusieurs entités : 

• L'ENISA : Elle joue un rôle pivot en préparant les schémas de certification techniques et en consultant les parties prenantes.
• Le Groupe européen de certification de cybersécurité (ECCG) : Composé de représentants des États membres, il participe à la gouvernance et aux discussions sur les exigences.
• La Commission européenne : Elle est responsable de l'adoption finale des schémas sous forme d'actes juridiques.
• Le Groupe de certification de cybersécurité des parties prenantes (SCCG) : Il permet d'intégrer l'expertise du secteur privé et des organismes de normalisation.

Premier point positif de la mise en oeuvre de l’ECCF : la création d'une approche unifiée et horizontale

L'ECCF a jeté les bases d'une approche unifiée et horizontale pour la certification des produits et services TIC, ce qui est essentiel pour le marché européen : 

• Réduction de la fragmentation : Le cadre vise à remplacer les schémas de certification nationaux disparates par des schémas valables dans toute l'UE, facilitant ainsi les échanges transfrontaliers.
• Reconnaissance mutuelle : Il permet une reconnaissance mutuelle des certificats entre les États membres, ce qui réduit les coûts individuels pour les entreprises et simplifie l'accès au marché.
• Confiance du marché : En établissant des normes de résilience élevées, il renforce la confiance des consommateurs et des entreprises dans les solutions numériques.

Deuxième point positif de la mise en oeuvre de l’ECCF : une structure de gouvernance solide

Le cadre a réussi à créer une structure de gouvernance solide qui favorise le dialogue entre les acteurs clés: 

• Création de groupes dédiés : L'établissement du Groupe européen de certification de cybersécurité (ECCG) et du Groupe des parties prenantes (SCCG) a institutionnalisé la coordination entre la Commission, les États membres et le secteur privé. 
• Dynamique collaborative : L'ECCF a stimulé une dynamique de coopération sans précédent, encourageant le partage d'informations et l'élaboration de stratégies conjointes contre les cybermenaces. 
• Flexibilité technique : L'utilisation de groupes de travail ad hoc permet d'adapter le développement des schémas aux spécificités techniques de chaque secteur.

Troisième point positif de la mise en oeuvre de l’ECCF : une sensibilisation et une résilience accrue

Le cadre a joué un rôle pédagogique et stratégique important : 

• Prise de conscience politique : Le processus de mise en œuvre a permis de sensibiliser les États membres à l'importance et à la complexité de la certification de cybersécurité.
• Impact de la pandémie : La crise du COVID-19 a mis en lumière la nécessité de disposer d'infrastructures numériques résilientes et de chaînes d'approvisionnement sécurisées, renforçant la pertinence du cadre.
• Sécurité dès la conception : L'ECCF promeut les principes de "security by design" (sécurité dès la conception) et par défaut, contribuant à réduire les vulnérabilités dès le développement des produits.

Quatrième point positif de la mise en oeuvre de l’ECCF : une cohérence avec la stratégie législative de l'UE

L'ECCF est désormais un pilier central qui s'intègre dans un écosystème réglementaire plus large : 

• Synergies législatives : Le cadre est conçu pour fonctionner en complémentarité avec des textes majeurs comme la directive NIS2 et le Cyber Resilience Act (CRA). 
• Anticipation des technologies émergentes : Il est reconnu comme un outil essentiel pour accompagner l'évolution technologique, notamment pour encadrer l'intelligence artificielle

Premier point négatif de la mise en oeuvre de l’ECCF : des délais et des lourdeurs procédurales

L'efficacité du cadre a été lourdement impactée par la lenteur de sa mise en œuvre. 

• Lenteur d'adoption : Le premier schéma de certification (EUCC) a mis 57 mois entre son initiation et son adoption finale. 
• Complexité juridique : La difficulté de traduire des projets techniques complexes (comme le Cloud ou la 5G) en actes juridiques contraignants a ralenti le processus. 
• Résultats théoriques : En raison de ces retards, la valeur ajoutée de l'ECCF reste pour l'instant plus théorique que pratique, les schémas n'entrant que récemment en phase opérationnelle.

Deuxième point négatif de la mise en oeuvre de l’ECCF : une politisation et des pressions externes

Le rapport souligne que les discussions techniques ont souvent été détournées par des enjeux politiques. 

• Débats sur la souveraineté : Des discussions sur le schéma Cloud (EUCS) ont stagné en raison de débats non techniques sur la localisation des données et la souveraineté numérique. 
• Pressions internationales : Le cadre a subi des pressions politiques de la part de pays tiers et d'industries hors UE, ce qui a nui à la transparence et à la fluidité des échanges.

Troisième point négatif de la mise en oeuvre de l’ECCF : une fragmentation et des inégalités de ressources

L'un des objectifs premiers de l'ECCF — réduire la fragmentation du marché — n'est pas encore atteint. 

• Disparités nationales : Il existe un fossé important en termes de ressources et d'expertise entre les grands et les petits États membres, ce qui empêche un développement uniforme des schémas. 
• Manque de cohérence : L'absence de mécanismes de responsabilité clairs entraîne des difficultés pour aligner les objectifs de l'ECCF avec d'autres mesures législatives.

Quatrième point négatif de la mise en oeuvre de l’ECCF : gouvernance et engagement des parties prenantes

Le fonctionnement interne du cadre présente des lacunes organisationnelles. 

• Ambiguïté des rôles : Il existe une confusion sur les responsabilités et la reddition de comptes (accountability) entre les différentes parties prenantes. 
• Exclusion du secteur privé : Certains membres du Groupe de certification des parties prenantes (SCCG) ont exprimé un sentiment de manque d'implication réelle dans les processus de décision.

Enfin, des risques de redondance législative émergent. Le cadre doit faire face à un environnement réglementaire de plus en plus dense. Il existe en effet des risques de doublons ou d'incohérences avec d'autres législations comme la directive NIS2 ou le Cyber Resilience Act (CRA), ce qui pourrait créer de la confusion sur le marché. 


Premier point positif concernant l’ENISA : une capacité d'adaptation et une bonne réponse aux crises

L'ENISA a démontré une grande agilité face à des événements imprévus et majeurs : 

• Flexibilité durant la pandémie : L'agence a soutenu la Commission et les États membres en définissant rapidement les exigences de sécurité pour les applications liées au COVID-19. 
• Soutien face à la guerre en Ukraine : Elle a joué un rôle clé dans la coopération avec l'Ukraine pour prévenir les cyberattaques sur les infrastructures critiques, comme le secteur de l'énergie. 
• Réalisation des objectifs : L'agence a fourni la quasi-totalité des produits et résultats prévus dans son programme de travail.

Deuxième point positif concernant l’ENISA : un hub de coopération et une valeur ajoutée européenne

L'agence agit comme un moteur de collaboration au sein de l'Union : 

• Soutien aux États membres : Elle aide particulièrement les pays dont les infrastructures de cybersécurité sont moins développées, contribuant ainsi à l'harmonisation de la protection dans toute l'UE. 
• Expertise centralisée : En tant que pôle de compétences, elle consolide l'expertise technique et facilite l'échange d'informations entre les autorités nationales. 
• Harmonisation : Son travail sur les normes et les exigences communes renforce la préparation globale de l'Europe face aux menaces.

Troisième point positif concernant l’ENISA : une excellence technique et une bonne réputation

La qualité du travail produit par l'agence est largement reconnue par les parties prenantes : 

• Publications de haute qualité : L'ENISA est réputée pour la pertinence de ses rapports sur le paysage des menaces et ses recommandations de sécurité. 
• Crédibilité : L'agence jouit d'une solide réputation au sein de la communauté de la cybersécurité en Europe. 
• Renforcement des capacités : Ses initiatives de formation, ses exercices et ses ateliers sont particulièrement appréciés pour développer les compétences des professionnels et des décideurs.

Premier point négatif concernant l’ENISA : des contraintes de ressources et de personnel

• Pénurie d'experts : L'agence peine à pourvoir des postes spécialisés en raison de la pénurie mondiale d'experts en informatique, ce qui entraîne des retards et une charge de travail élevée pour le personnel en place. 
• Adéquation budget/personnel : Bien que le budget ait augmenté de 15 millions d'euros en 2022, cette hausse n'a pas été accompagnée d'une augmentation proportionnelle des effectifs, créant un déséquilibre opérationnel. 
• Réallocation forcée : Pour répondre à de nouvelles priorités législatives, l'agence a dû déplacer du personnel au détriment d'activités essentielles comme la sensibilisation et le développement des compétences.

Deuxième point négatif concernant l’ENISA : des lacunes dans la mesure de la performance et une agilité limitée 

• Absence d'indicateurs précis : Il n'existe pas d'indicateurs de performance suffisants pour mesurer objectivement l'efficacité de l'ENISA. L'analyse repose donc principalement sur les perceptions des parties prenantes via des entretiens et des enquêtes.
• Agilité limitée : L'ENISA présente une réactivité parfois insuffisante face à l'évolution rapide des cybermenaces, ce qui peut causer des retards dans ses activités

Troisième point négatif concernant l’ENISA : complexité administrative et difficultés budgétaires

Le rapport identifie des freins dans la gestion quotidienne : 

• Délais de passation de marchés : L'agence a été confrontée à des retards dans ses procédures d'achat (procurement), ce qui a nui à son efficacité interne. 
• Sous-utilisation des crédits : Entre 2019 et 2022, le rapport a observé une tendance à la baisse dans l'équilibre entre les crédits approuvés et les engagements réels, en partie à cause de retards dans certaines actions de soutien.

La manière dont l'agence communique ses résultats est également critiquée : 

• Rapports trop complexes : Les publications de l'ENISA pourraient être plus "user-friendly" et accessibles. Le rapport recommande l'usage de résumés concis et d'aides visuelles pour les rendre plus digestes.
• Manque de visibilité : Malgré ses services, l'ENISA souffre d'un manque de visibilité auprès de certains acteurs industriels et des réseaux de cybersécurité existants (comme les ISACs).

Cinquième point négatif concernant l’ENISA : des difficultés de coordination

• Structures décentralisées : La coordination avec les États membres est parfois compliquée par l'organisation interne complexe et décentralisée de certains pays, ce qui freine la fluidité des échanges avec l'agence. 
• Manque de prévisibilité : Les interactions de l'agence avec les partenaires privés et internationaux manquent parfois de transparence et de prévisibilité, ce qui peut affecter la confiance à long terme. 
• Cohérence : Une meilleure coordination est nécessaire avec d'autres organismes de l'UE (comme l'ECCC ou le JRC) pour éviter les doublons et créer des synergies. 

synthèse et traduction par Pierre Berthelet alias securiteinterieure.fr

• Rapport de la Commision européenne

A lire aussi sur securiteinterieure.fr :

• L’agence européenne ENISA fête ses 20 ans et poursuit sa croissance stratégique et opérationnelle  
• L’agence européenne de cybersécurité doit hiérarchiser ses priorités…mais pas trop!
• L’agence européenne de cybersécurité ne doit pas être un donneur d’ordre aux agences nationales
• Rapport sur la "stratégie de l'UE pour l'union de la sécurité" : des avancées tangibles en matière de cybersécurité et des progrès de la coopération policière  
• Réalisation d’un marché européen dans le secteur de la cybersécurité : un plan d'action pour promouvoir la compétitivité