Service Certification (CCB-Certification)
L'équipe CCB-Certification offre des conseils et un soutien aux entreprises belges dans le cadre du processus de certification de cybersécurité de l'UE.
Le Centre pour la Cybersécurité Belgique (CCB) souhaite faire de la Belgique l'un des pays les moins vulnérables d'Europe en matière de cybersécurité d'ici 2025. La certification des produits, services et processus ICT qui répondent à certaines exigences en matière de cybersécurité est un levier important pour pouvoir augmenter le niveau de cybersécurité. Une certification peut améliorer et assurer la confiance dans le marché unique numérique.
Le CCB a été désigné comme l'Autorité nationale de certification en matière de cybersécurité (National Cybersecurity Certification Authority, NCCA) par le Conseil des Ministres.
Le Cybersecurity Act
Le Cybersecurity Act ((UE) 2019/881) est un règlement par lequel l'Union européenne entend mieux s’armer pour faire face aux cyberattaques transfrontalières. Ce règlement fournit, entre autres, aux États membres de l'Union européenne un cadre pour la certification volontaire des produits, processus et services ICT en matière de cybersécurité. Un certificat de cybersécurité européen confirme qu'un produit, un processus ou un service ICT a été certifié conformément à un schéma européen de certification de la cybersécurité et qu'il est conforme aux exigences et règles de cybersécurité spécifiées.
En Belgique, la certification sera possible après un audit, un test et/ou une certification par un Conformity Assessment Body (CAB) accrédité. Tous les certificats sont publiés par l'Agence de l’Union européenne pour la cybersécurité (ENISA) et sont valables au sein de l'Union européenne.
Niveau de cybersécurité
Un niveau de cybersécurité différent sera appliqué en fonction du risque associé à l'utilisation de la solution ICT à certifier. Chaque système européen indique si une certification est possible pour un niveau de confiance « fondamental », « substantiel » ou « élevé ».
Les schémas de certification suivants sont en cours de préparation pour le marché :
|
Common Criteria (EUCC) : certification des produits ICT (niveau de confiance « substantiel » ou « élevé »). |
|
Cloud Services (EUCS) : certification des services en Cloud (niveau de confiance « fondamental », « substantiel » ou « élevé »). |
|
5G Networks (EU5G) : certification des réseaux 5G (niveau de confiance « fondamental », « substantiel » ou « élevé »). |
Mise en œuvre du processus de certification
L’illustration ci-dessus montre comment fonctionne un processus de certification au niveau national.
La certification peut avoir lieu par l'intermédiaire d'un organisme d'évaluation de la conformité (CAB) ou, le cas échéant, par une auto-évaluation de la conformité.
- Une auto-évaluation de la conformité (1) peut être possible pour un schéma. Cela signifie qu'un fabricant ou un fournisseur évalue lui-même si son produit, service ou processus ICT est conforme aux exigences de sécurité d'un système spécifique. S'il peut prouver la conformité, le fabricant ou le fournisseur peut obtenir un certificat. Tous les schémas ne prévoient pas cette possibilité. Le cas échéant, l'auto-évaluation ne sera possible que pour le niveau de confiance « fondamental ». A l'heure actuelle, une auto-évaluationle est prévue uniquement pour le schéma EUCS niveau « fondamental ».
- BELAC, l'organisme national d'accréditation (2) (NAB), peut accréditer un organisme d'évaluation de la conformité (CAB) pour une durée maximale de 5 ans pour un schéma donné.
Un CAB accrédité peut à son tour certifier un fabricant ou fournisseur pour ses produits, services ou processus ICT si ceux-ci répondent aux exigences de sécurité du schéma pour lequel la certification est demandée. Si le fabricant ou fournisseur ne satisfait pas aux exigences et que le certificat est refusé par un CAB, temporairement ou non, il est possible de faire appel au CCB.
En raison du Cybersecurity Act, il est possible pour un CAB non belge ayant son siège social en Belgique d'être accrédité par BELAC. Ce CAB est alors soumis au contrôle belge. La Belgique opte actuellement pour une délégation totale ou partielle aux CAB accrédités par BELAC pour les certificats européens de cybersécurité de niveau de confiance « élevé ».