Un rapport surn l’ECCF (Cadre européen de certification de cybersécurité) et de l’ENISA a été publié qui présente un bilan contrasté. nConcernant l’ENISA, l’agence pour la cybersécurité a rempli l’essentiel nde son mandat, prouvant sa flexibilité lors de crises majeures comme la npandémie ou la guerre en Ukraine. Elle reste toutefois entravée par un nmanque de ressources et des difficultés de recrutement d’experts nspécialisés. Quant au bilan de l’ECCF, il est plus en retrait. Son nimpact demeure largement potentiel, faute de schémas de certification npleinement opérationnels. Sa mise en œuvre a subi des délais majeurs et ndes blocages politiques liés à la souveraineté des données. Malgré une nvaleur ajoutée européenne reconnue, le rapport préconise une npriorisation stratégique accrue et une révision de la gouvernance pour ntransformer ce potentiel en efficacité concrète.

Quels sont les éléments principaux du rapport ?

L’évaluationn de l’ENISA pour la période 2017-2023 met en évidence son rôle crucial nen tant qu’acteur central de la cybersécurité en Europe. L’agence est nsaluée pour sa flexibilité opérationnelle, sa capacité à fédérer les nÉtats membres et la qualité de son expertise technique. Ceci dit, nl’évaluation de l’ENISA pour la période 2017-2023 identifie plusieurs npoints d’amélioration et défis structurels qui limitent l’impact de nl’agence. Les critiques portent principalement sur le manque de nressources, les difficultés de recrutement et une visibilité ninsuffisante auprès du secteur privé.

Quant au bilan de l’ECCF n(Cadre européen de certification de cybersécurité) pour la période n2017-2023, il met en avant plusieurs avancées stratégiques, bien que le ncadre soit encore dans une phase de transition où son potentiel est jugén plus important que ses réalisations pratiques immédiates. Bien que nl’ECCF soit considéré comme un outil prometteur, son bilan pour la npériode 2017-2023 révèle des faiblesses majeures, notamment des délais nexcessifs, une politisation des débats techniques et une fragmentation npersistante du marché.

Qu’est-ce que le Cadre européen de certification de cybersécurité (ECCF) ?

Len Cadre européen de certification de cybersécurité (ECCF) est un système ninstitué par le Règlement sur la cybersécurité (Cybersecurity Act – CSA)n visant à établir une approche unifiée et horizontale de la ncertification de cybersécurité au sein de l’Union européenne.

L’ECCF a été conçu pour répondre à six besoins essentiels du marché européen :

• Harmonisationn du marché : Créer des règles communes pour éviter la fragmentation nentre les États membres concernant la certification des produits, nservices et processus TIC (Technologies de l’Information et de la nCommunication).
• Renforcement de la confiance : Promouvoir une nconfiance accrue des entreprises et des consommateurs dans le marché nunique numérique.
• Amélioration de la résilience : Établir des nnormes de sécurité élevées et favoriser la « sécurité dès la conception » n(security by design) et par défaut.
• Réduction des charges : nDiminuer les obstacles administratifs et les coûts liés à la ncertification pour les entreprises opérant au-delà des frontières nnationales.

Comment fonctionne l’ECCF ?

Len cadre repose sur la création de schémas européens de certification de ncybersécurité spécifiques à certaines catégories de produits ou servicesn (comme le cloud ou la 5G). Ce cadre :

• couvren l’ensemble du cycle de vie des produits, services et processus TIC afinn de garantir l’intégrité, la confidentialité et la disponibilité des ndonnées.
• vise à accroître la clarté sur le niveau d’assurance de sécurité des produits mis sur le marché.

La mise en œuvre de l’ECCF repose sur une collaboration entre plusieurs entités :

• L’ENISA : Elle joue un rôle pivot en préparant les schémas de certification techniques et en consultant les parties prenantes.
• Len Groupe européen de certification de cybersécurité (ECCG) : Composé de nreprésentants des États membres, il participe à la gouvernance et aux ndiscussions sur les exigences.
• La Commission européenne : Elle est responsable de l’adoption finale des schémas sous forme d’actes juridiques.
• Len Groupe de certification de cybersécurité des parties prenantes (SCCG) :n Il permet d’intégrer l’expertise du secteur privé et des organismes de nnormalisation.

Premier point positif de la mise en oeuvre de l’ECCF : la création d’une approche unifiée et horizontale

L’ECCFn a jeté les bases d’une approche unifiée et horizontale pour la ncertification des produits et services TIC, ce qui est essentiel pour len marché européen :

• Réductionn de la fragmentation : Le cadre vise à remplacer les schémas de ncertification nationaux disparates par des schémas valables dans toute nl’UE, facilitant ainsi les échanges transfrontaliers.
• Reconnaissancen mutuelle : Il permet une reconnaissance mutuelle des certificats entre nles États membres, ce qui réduit les coûts individuels pour les nentreprises et simplifie l’accès au marché.
• Confiance du marchén : En établissant des normes de résilience élevées, il renforce la nconfiance des consommateurs et des entreprises dans les solutions nnumériques.

Deuxième point positif de la mise en oeuvre de l’ECCF : une structure de gouvernance solide

Le cadre a réussi à créer une structure de gouvernance solide qui favorise le dialogue entre les acteurs clés:

• Créationn de groupes dédiés : L’établissement du Groupe européen de certificationn de cybersécurité (ECCG) et du Groupe des parties prenantes (SCCG) a ninstitutionnalisé la coordination entre la Commission, les États membresn et le secteur privé.
• Dynamique collaborative : L’ECCF a nstimulé une dynamique de coopération sans précédent, encourageant le npartage d’informations et l’élaboration de stratégies conjointes contre nles cybermenaces.
• Flexibilité technique : L’utilisation de ngroupes de travail ad hoc permet d’adapter le développement des schémas naux spécificités techniques de chaque secteur.

Troisième point positif de la mise en oeuvre de l’ECCF : une sensibilisation et une résilience accrue

Le cadre a joué un rôle pédagogique et stratégique important :

• Prisen de conscience politique : Le processus de mise en œuvre a permis de nsensibiliser les États membres à l’importance et à la complexité de la ncertification de cybersécurité.
• Impact de la pandémie : La ncrise du COVID-19 a mis en lumière la nécessité de disposer nd’infrastructures numériques résilientes et de chaînes nd’approvisionnement sécurisées, renforçant la pertinence du cadre.
• Sécuritén dès la conception : L’ECCF promeut les principes de « security by ndesign » (sécurité dès la conception) et par défaut, contribuant à nréduire les vulnérabilités dès le développement des produits.

Quatrième point positif de la mise en oeuvre de l’ECCF : une cohérence avec la stratégie législative de l’UE

L’ECCF est désormais un pilier central qui s’intègre dans un écosystème réglementaire plus large :

• Synergiesn législatives : Le cadre est conçu pour fonctionner en complémentarité navec des textes majeurs comme la directive NIS2 et le Cyber Resilience nAct (CRA).
• Anticipation des technologies émergentes : Il est nreconnu comme un outil essentiel pour accompagner l’évolution ntechnologique, notamment pour encadrer l’intelligence artificielle

Premier point négatif de la mise en oeuvre de l’ECCF : des délais et des lourdeurs procédurales

L’efficacité du cadre a été lourdement impactée par la lenteur de sa mise en œuvre.

• Lenteur d’adoption : Le premier schéma de certification (EUCC) a mis 57 mois entre son initiation et son adoption finale.
• Complexitén juridique : La difficulté de traduire des projets techniques complexes n(comme le Cloud ou la 5G) en actes juridiques contraignants a ralenti len processus.
• Résultats théoriques : En raison de ces retards, lan valeur ajoutée de l’ECCF reste pour l’instant plus théorique que npratique, les schémas n’entrant que récemment en phase opérationnelle.

Deuxième point négatif de la mise en oeuvre de l’ECCF : une politisation et des pressions externes

Le rapport souligne que les discussions techniques ont souvent été détournées par des enjeux politiques.

• Débatsn sur la souveraineté : Des discussions sur le schéma Cloud (EUCS) ont nstagné en raison de débats non techniques sur la localisation des ndonnées et la souveraineté numérique.
• Pressions internationalesn : Le cadre a subi des pressions politiques de la part de pays tiers et nd’industries hors UE, ce qui a nui à la transparence et à la fluidité ndes échanges.

Troisième point négatif de la mise en oeuvre de l’ECCF : une fragmentation et des inégalités de ressources

L’un des objectifs premiers de l’ECCF — réduire la fragmentation du marché — n’est pas encore atteint.

• Disparitésn nationales : Il existe un fossé important en termes de ressources et nd’expertise entre les grands et les petits États membres, ce qui empêchen un développement uniforme des schémas.
• Manque de cohérence : nL’absence de mécanismes de responsabilité clairs entraîne des ndifficultés pour aligner les objectifs de l’ECCF avec d’autres mesures nlégislatives.

Quatrième point négatif de la mise en oeuvre de l’ECCF : gouvernance et engagement des parties prenantes

Le fonctionnement interne du cadre présente des lacunes organisationnelles.

• Ambiguïtén des rôles : Il existe une confusion sur les responsabilités et la nreddition de comptes (accountability) entre les différentes parties nprenantes.
• Exclusion du secteur privé : Certains membres du nGroupe de certification des parties prenantes (SCCG) ont exprimé un nsentiment de manque d’implication réelle dans les processus de décision.n

Enfin, des risques de redondance législative émergent.n Le cadre doit faire face à un environnement réglementaire de plus en nplus dense. Il existe en effet des risques de doublons ou d’incohérencesn avec d’autres législations comme la directive NIS2 ou le Cyber nResilience Act (CRA), ce qui pourrait créer de la confusion sur le nmarché.

Premier point positif concernant l’ENISA : une capacité d’adaptation et une bonne réponse aux crises

L’ENISA a démontré une grande agilité face à des événements imprévus et majeurs :

• Flexibilitén durant la pandémie : L’agence a soutenu la Commission et les États nmembres en définissant rapidement les exigences de sécurité pour les napplications liées au COVID-19.
• Soutien face à la guerre en nUkraine : Elle a joué un rôle clé dans la coopération avec l’Ukraine npour prévenir les cyberattaques sur les infrastructures critiques, commen le secteur de l’énergie.
• Réalisation des objectifs : L’agence a fourni la quasi-totalité des produits et résultats prévus dans son programme de travail.

Deuxième point positif concernant l’ENISA : un hub de coopération et une valeur ajoutée européenne

L’agence agit comme un moteur de collaboration au sein de l’Union :

• Soutienn aux États membres : Elle aide particulièrement les pays dont les ninfrastructures de cybersécurité sont moins développées, contribuant nainsi à l’harmonisation de la protection dans toute l’UE.
• Expertisen centralisée : En tant que pôle de compétences, elle consolide nl’expertise technique et facilite l’échange d’informations entre les nautorités nationales.
• Harmonisation : Son travail sur les nnormes et les exigences communes renforce la préparation globale de nl’Europe face aux menaces.

Troisième point positif concernant l’ENISA : une excellence technique et une bonne réputation

La qualité du travail produit par l’agence est largement reconnue par les parties prenantes :

• Publicationsn de haute qualité : L’ENISA est réputée pour la pertinence de ses nrapports sur le paysage des menaces et ses recommandations de sécurité.
• Crédibilité : L’agence jouit d’une solide réputation au sein de la communauté de la cybersécurité en Europe.
• Renforcementn des capacités : Ses initiatives de formation, ses exercices et ses nateliers sont particulièrement appréciés pour développer les compétencesn des professionnels et des décideurs.

Premier point négatif concernant l’ENISA : des contraintes de ressources et de personnel

• Pénurien d’experts : L’agence peine à pourvoir des postes spécialisés en raison nde la pénurie mondiale d’experts en informatique, ce qui entraîne des nretards et une charge de travail élevée pour le personnel en place.
• Adéquationn budget/personnel : Bien que le budget ait augmenté de 15 millions nd’euros en 2022, cette hausse n’a pas été accompagnée d’une augmentationn proportionnelle des effectifs, créant un déséquilibre opérationnel.
• Réallocationn forcée : Pour répondre à de nouvelles priorités législatives, l’agence an dû déplacer du personnel au détriment d’activités essentielles comme lan sensibilisation et le développement des compétences.

Deuxième point négatif concernant l’ENISA : des lacunes dans la mesure de la performance et une agilité limitée 

• Absencen d’indicateurs précis : Il n’existe pas d’indicateurs de performance nsuffisants pour mesurer objectivement l’efficacité de l’ENISA. L’analysen repose donc principalement sur les perceptions des parties prenantes nvia des entretiens et des enquêtes.
• Agilité limitée : L’ENISA nprésente une réactivité parfois insuffisante face à l’évolution rapide ndes cybermenaces, ce qui peut causer des retards dans ses activités

Troisième point négatif concernant l’ENISA : complexité administrative et difficultés budgétaires

Le rapport identifie des freins dans la gestion quotidienne :

• Délaisn de passation de marchés : L’agence a été confrontée à des retards dans nses procédures d’achat (procurement), ce qui a nui à son efficacité ninterne.
• Sous-utilisation des crédits : Entre 2019 et 2022, le nrapport a observé une tendance à la baisse dans l’équilibre entre les ncrédits approuvés et les engagements réels, en partie à cause de retardsn dans certaines actions de soutien.

La manière dont l’agence communique ses résultats est également critiquée :

• Rapportsn trop complexes : Les publications de l’ENISA pourraient être plus n »user-friendly » et accessibles. Le rapport recommande l’usage de résumésn concis et d’aides visuelles pour les rendre plus digestes.
• Manquen de visibilité : Malgré ses services, l’ENISA souffre d’un manque de nvisibilité auprès de certains acteurs industriels et des réseaux de ncybersécurité existants (comme les ISACs).

Cinquième point négatif concernant l’ENISA : des difficultés de coordination

• Structuresn décentralisées : La coordination avec les États membres est parfois ncompliquée par l’organisation interne complexe et décentralisée de ncertains pays, ce qui freine la fluidité des échanges avec l’agence.
• Manquen de prévisibilité : Les interactions de l’agence avec les partenaires nprivés et internationaux manquent parfois de transparence et de nprévisibilité, ce qui peut affecter la confiance à long terme.
• Cohérencen : Une meilleure coordination est nécessaire avec d’autres organismes den l’UE (comme l’ECCC ou le JRC) pour éviter les doublons et créer des nsynergies.

synthèse et traduction par Pierre Berthelet

• Rapport de la Commision européenne