Résultats de l’appel à manifestation d’intérêt sur la certification de sécurité de niveau substantiel et élémentaire
En préfiguration de l’adoption du règlement européen 2019/881 en matière de certification de sécurité, l’ANSSI avait lancé en 2018 un appel à manifestation d’intérêt en vue de recueillir les recommandations des différentes parties prenantes sur les schémas de certification des niveaux élémentaire et substantiel. L’agence partage aujourd’hui les résultats et les enseignements suite aux retours exprimés.
L’ANSSI lançait il y a un an un appel à manifestation d’intérêt pour identifier les acteurs qui souhaitaient s’engager dans une réflexion ouverte sur la certification de sécurité de niveaux substantiel et élémentaire.
Une démarche qui a suscité l’intérêt de plusieurs entités représentatives, ainsi que de multiples contributions.
L’ANSSI, tient à remercier les contributeurs de tous horizons qui ont participé à cette réflexion, tels que des organismes d’accréditation ou d’évaluation de la conformité, ainsi que des laboratoires d’évaluation et de recherche, des développeurs de solutions, ou encore des experts en sécurité.
Construire collectivement la certification de sécurité européenne
Les évolutions des technologies et du marché, la maturité des acteurs dans la perception des risques et les propositions de certification de niveaux substantiel et élémentaire sont autant de facteurs pris en compte dans le projet de règlement de la Commission européenne en matière de certification de sécurité. Des préoccupations qui soulignent la nécessité de créer de nouveaux schémas de certification de sécurité, qui viendraient compléter les dispositifs actuellement opérés par l’ANSSI, notamment pour certifier des prestataires de service, ou des produits soumis à des référentiels de sécurité moins exigeants.
Les contributions et les propositions recueillies ont été compilées dans le document aujourd’hui mis à disposition par l’ANSSI, et les recommandations des contributeurs ont inspiré des actions qui permettent de renforcer la vison de la France et des différents acteurs engagés pour la certification de sécurité de niveau substantiel et élémentaire dans le cade du Cybersecurity Act.
Parmi ces actions, celles qui sont en lien avec le rôle de l’autorité nationale de certification de cybersécurité (NCCA) vis-à-vis des différentes parties prenantes de l’écosystème de la certification seront conduites en priorité.
Contact : M. Franck SADMI, division Produits et services de sécurité
Courriel - franck.sadmi [ at ] ssi.gouv.fr