Le 10 juillet, la commission ITRE du Parlement européen a adopté un nouveau brouillon de règlement, qui introduit une certification des produits et services numériques. Dans cette version, les entreprises devraient certifier volontairement leurs produits. En parallèle, l'agence européenne de cybersécurité gagnerait du galon.
Ce texte, porté par l'eurodéputée Angelika Niebler, est la dernière version en date d'un futur règlement européen. Celui-ci vise à instaurer une certification de sécurité des produits technologiques dans tous les pays de l'Union. Règlement oblige, aucune transposition nationale ne serait nécessaire pour qu'il s'applique.
L'enjeu est important : la sécurité déplorable des objets connectés qui arrivent sur le marché. Code contenant des mots de passe inchangeables, communications sans chiffrement, logiciels obsolètes, connexion inutile à Internet... Les grandes attaques de réseaux zombies (botnets) de la fin 2016, comme celle contre Dyn, ont servi d'électrochoc pour les pouvoirs publics. Wannacry et NotPetya, en 2017, ont enfoncé le clou.
En septembre 2017, la Commission européenne a donc lancé son projet de règlement, trituré ces derniers mois par le Parlement. L'idée est d'obtenir un système de certification en fonction de critères précis, avec la possibilité pour les objets les moins sensibles de s'auto-certifier, pour éviter les coûts d'audit. Les débats ont été nombreux, en particulier sur cette possibilité d'apposer soi-même un macaron « sûr » à son produit, sans contrôle préalable.
Une certification aux contours mouvants
Le règlement introduit une certification au niveau européen, en principe via des organismes agréés. Pour les eurodéputés de la commission ITRE, il n'est pas question de limiter cette validation aux produits et services, mais de l'étendre aux processus. Cette validation européenne d'un produit devrait tout de même exclure les jardins secrets des États, comme la lutte contre la criminalité, la sécurité publique ou la défense nationale.
Le dispositif serait chapeauté par l'agence européenne de sécurité informatique, l'Enisa, et la Commission.
Pas question d'une certification unique pour tous les produits. La commission de l'industrie propose une approche fondée sur le risque, et non un modèle de certification unique pour tous les cas. Elle réintroduit même l'idée d'une auto-certification des objets les moins sensibles, évacuée en septembre par la Commission européenne dans sa première proposition, malgré les demandes d'acteurs de poids comme l'Anssi.
Concrètement, le texte provisoire du Parlement introduit une certification volontaire pour la plupart des produits, avec une auto-certification pour le niveau le plus basique. Bien entendu, l'ensemble serait contrôlable a posteriori. Les produits prétendant toucher des utilisateurs ou entreprises sensibles devraient toujours se contraindre à une certification externe.
Il faudrait tout de même voir, dans le détail, l'équivalence avec les certifications déjà en place dans certains pays, comme la France, l'Allemagne et le Royaume-Uni.
La forme du certificat pose aussi question : la commission ITRE est circonspecte face à l'idée d'un tampon à apposer sur les produits. Dans cette version « ITRE » du règlement, les concepteurs devraient plutôt fournir une documentation obligatoire, détaillant la certification, la disponibilité des mises à jour et l'interopérabilité du produit. « La rapporteure préfère une telle déclaration à un label ou tampon qui pourraient tromper le consommateur » note le texte.
La commission ITRE demande aussi plus de transparence dans la gouvernance du système, avec un programme de travail multipartite. En mettant les autorités nationales au même niveau de pouvoir que la Commission. Cette organisation dirigerait les efforts en matière de certification avec tous les acteurs, en regardant les éventuelles équivalences nationales.
Autre idée : renforcer le poids des tiers en créant des groupes consultatifs spécifiques, avec industriels et tiers, gérés par l'Enisa.
Déception pour l'European Consumer Organisation
En réponse au vote, la Business Software Alliance demande un système de certification plus flexible, en évitant notamment d'introduire des obligations trop spécifiques, pour se concentrer sur des besoins de haut niveau. DigitalEurope, pour sa part, demande à étendre l'auto-certification à plus de produits.
Au contraire, l'European Consumer Organisation (BEUC) regrette le choix d'une certification volontaire, jugée peu contraignante.
« Il y a des règles pour rendre nos voitures sûres. Il y a des règles pour rendre notre nourriture sûre. Mais il n'y en a pas pour nos produits connectés. Il est très décevant que les institutions européennes semblent encore sous-estimer cette dimension du problème et ne veulent pas imposer une sécurité par conception et par défaut » déclare Monique Goyens, sa directrice générale.
Une agence européenne pour les coordonner toutes
Le règlement couvre aussi le rôle de l'Enisa, l'agence européenne de sécurité informatique, censée grandir dans les prochaines années. Certains pays, comme la France, disposent de leurs propres agences de sécurité. Elles veulent donc limiter l'Enisa à un rôle de coordination de ces organisations. Face à eux, d'autres États, en retard sur le sujet, comptent sur une équipe de pompiers européens, capables d'aider un membre en difficulté.
Pour Guillaume Poupard, directeur de l'Anssi, l'Enisa n'en serait pas capable. Pour des raisons de budget (11 millions d'euros annuels pour le moment) et de connaissance des infrastructures à protéger, une compétence qui nécessite du temps et conviendrait mieux à une agence nationale. D'autant que la directive NIS, transposée récemment en France, étend grandement la liste des entreprises à protéger, au-delà des opérateurs d'importance vitale.
Cette vision est suivie par la commission ITRE, qui espère renforcer les moyens financiers et humains de l'Enisa, mais pas remplacer les agences nationales qu'il faut développer. Une des raisons : « le nombre toujours réduit d'experts employés, comparé à la taille des équipes de certaines autorités nationales ».
Ce règlement signerait donc une croissance du budget et du personnel de l'Enisa. À Euractiv, Udo Helmbrecht déclare qu'une partie de ses employés rejoindraient une équipe de réponse à incident à Bruxelles, partagée avec les autres institutions communautaires. À terme, l'objectif est de disposer d'assez de personnes pour opérer jour et nuit.
Une remontée de failles possiblement mieux protégée
Cette version du règlement encourage les pays à créer des processus de remontée de failles pour les hackers. Un modèle unique européen ne semble pas à l'ordre du jour. Encore aujourd'hui, la crainte d'une plainte de la part de l'organisme ou entreprise faillible est vive chez les chercheurs. Sans promesse d'anonymat si la faille a été trouvée et remontée dans les règles, bien des problèmes restent inconnus.
En France, cette mesure avait été réclamée par des chercheurs en sécurité (via l'association Hackerzvoice), auxquels l'Anssi avait servi de porte-voix. Le résultat : l'article 47 de la loi Numérique portée par Axelle Lemaire en 2016, célébré comme une victoire commune de l'agence et de l'ex-secrétaire d'État au Numérique.
Il permet à des chercheurs de signaler anonymement des failles à l'Anssi, elle-même chargée de les partager avec l'organisation ou la société concernée. Dans ce cadre, l'agence n'a pas l'obligation de dévoiler l'identité de la personne derrière la découverte, si elle l'estime de bonne foi.
Le rapport de la commission ITRE, adopté à 56 voix contre 5, est censé être le mandat défendu par le Parlement européen face à la Commission et au Conseil européen, où siègent les États membres. Ce mandat devra être confirmé en séance plénière, en octobre. Dernière étape : un accord entre les trois institutions communautaires, avec la validation du Conseil européen. Selon Contexte, il est espéré pour la fin d'année.