CORAL : Préparer les PME à la certification européenne de cybersécurité au niveau ‘élémentaire’

fr

Le « Cybersecurity Act », ou CSA, (officiellement le Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013) est pleinement entré en vigueur depuis le 28 juin 2021. Il établit un cadre européen visant à harmoniser au niveau de l’Union européenne (UE) les paramètres relatifs aux règles, exigences, normes et procédures qui s’appliquent à des schémas de certification de cybersécurité basés sur le risque pour les produits, services et processus TIC. A cette fin, il introduit trois niveaux d’assurance – ‘élémentaire’, ‘substantiel’ et ‘élevé’ – en matière de certification de cybersécurité, allant des cas à moindre risque aux cas à risque plus important.

<< Retour
12/07/2023 | Publication
  • shutterstock 2135578345

Dans le même contexte, l’Agence de l'Union européenne pour la cybersécurité (ENISA), a la tâche de rédiger des schémas de certification portant sur des sujets spécifiques et couvrant un ou plusieurs de ces niveaux d’assurance. Par ailleurs, fait important, les certificats de cybersécurité européens obtenus dans le cadre du CSA sont automatiquement reconnus dans l’ensemble des Etats membres de l’UE. Le projet CORAL vise à faciliter la certification au niveau élémentaire des acteurs du marché dans le cadre d’un schéma européen de certification de cybersécurité.

CORAL est un projet d’une durée de trois ans, cofinancé par le programme « Connecting Europe Facility » de l’Union européenne, et mené par trois partenaires au Luxembourg : la Luxembourg House of Cybersecurity (LHC), l’ILNAS et l’ANEC GIE. Le projet CORAL (« cybersecurity Certification based On Risk evALuation and treatment ») vise à adresser la certification, dans le cadre d’un schéma européen de certification de cybersécurité, au niveau ‘élémentaire’ et est, à notre connaissance, le premier projet européen au Luxembourg à traiter ce sujet. Il a pour objectif de développer une boîte à outils pour aider à rendre la certification européenne de cybersécurité concrètement réalisable pour les acteurs du marché dans des cas d’utilisation à faible risque. Il s’adresse en priorité aux organisations disposant de ressources limitées à dédier à la cybersécurité.

Dans ce cadre, CORAL se positionne comme une méthodologie accompagnant la certification de cybersécurité pour des schémas européen qui couvrent le niveau d’assurance élémentaire. Il suggère une approche et propose des outils basés sur des critères officiels existants pour évaluer la maturité en cybersécurité d’un produit, service, ou processus TIC. S’appuyant sur cette évaluation, une organisation peut se porter candidate à une certification de cybersécurité dans le cadre du CSA au niveau d’assurance ‘élémentaire’, à partir du moment où les schémas de certification intégrant ce niveau ont officiellement été adoptés par l’Union européenne. Actuellement, deux projets de schémas existent (ils seront effectifs, à terme, par l’adoption des actes d’exécution ad hoc par la Commission européenne) :

  • L’EUCC, portant sur les produits TIC en général, aux niveaux ‘substantiel’ et ‘élevé’. L’EUCC ne précise pas de niveau d’assurance ‘élémentaire’ et n’est par conséquent pas dans la portée de CORAL ;
  • L’EUCS, portant sur les services d’informatique en nuage, ou « cloud », aux niveaux ‘élémentaire’, ‘substantiel’, et ‘élevé’. La présence du niveau ‘élémentaire’ place ce schéma dans la portée de CORAL.

Les outils développés dans le cadre du projet CORAL, composés d’un ensemble de questionnaires ainsi que d’une procédure globale, s’adressent à deux catégories principales d’utilisateurs :

Les petites et moyennes entreprises (PME) qui souhaitent évaluer la maturité en cybersécurité du produit, service ou processus qu’elles proposent, éventuellement dans l’optique d’obtenir une certification au niveau ‘élémentaire’ ;

Les auditeurs travaillant pour le compte d’organismes d’évaluation de la conformité compétents pour la délivrance de certificats en regard des schémas CSA décrits précédemment, et qui peuvent réaliser un audit basé sur les réponses fournies à travers les questionnaires de l’outil.

Les questionnaires de CORAL ont été élaborés à partir de sources bien établies en matière de sécurité de l’information : normes internationales ou européennes, bonnes pratiques internationalement reconnues, projets de schémas européens de certification de cybersécurité. Ainsi, la méthodologie CORAL dispose d’une flexibilité suffisante pour s’aligner aux schémas CSA existants et à venir. Quant au profil auditeur proposé par CORAL - qui définit les compétences dont doivent disposer les auditeurs amenés à délivrer des certificats de cybersécurité européens - il est basé sur la « Cybersecurity Skills Framework » de l’ENISA.

L’outil CORAL est disponible sur une plateforme dédiée. L’ensemble des parties intéressées sont invitées à le tester et à partager leur avis, contribuant ainsi à l’amélioration continue du projet. Tout commentaire relatif à CORAL et à ses outils peut être envoyé à l’adresse .

A noter qu’au Luxembourg, l’ILNAS a été nommé « National Cybersecurity Certification Authority » en charge des activités de supervision. Toute demande portant sur le CSA en général peut être envoyée à l’adresse électronique . L’ILNAS est également l’organisme national de normalisation pour le Luxembourg, avec lequel tout acteur du marché peut prendre contact via  pour s’impliquer dans des activités de normalisation, par exemple en relation avec les normes techniques en soutien au CSA. Enfin, la LHC est l’agence nationale en matière de cybersécurité pour l’économie et les municipalités au Luxembourg, et offre aussi des outils « open-source » et des bonnes pratiques générales en matière d’évaluation de la maturité en cybersécurité pour les PME.

Retour vers le haut | << Retour

Communiqués liés

flyer caritas 2023 - card.pdf (3) (002)

Campagne de dons Pluxee : 14.990 € collectés !

Depuis juillet 2009, Pluxee Luxembourg et Caritas Luxembourg unissent leurs forc...

Pluxee
HiltonHonorsCreditCard-powered-by-Advanzia
11/07/2024 Communiqué

Hilton bietet in Zusammenarbeit mit der Advanzia Bank eine H...

Mitglieder kommen in den Genuss einer Reihe von Vorteilen, darunter ein exklusiv...

Advanzia Bank S.A
capgemini copy
11/07/2024 Communiqué

Generative AI is set to be adopted by 85% of the software wo...

Generative AI (Gen AI) is expected to play a key role in augmenting the software...

Capgemini
Clotilde Buriez - Stefan Rech - new PwC Partners
10/07/2024 Carrières

PwC Luxembourg strengthens its Assurance team with two new (...

PwC Luxembourg is pleased to welcome two new Audit Partners to the Alternative I...

PwC Luxembourg
 J5A5463

Uber Eats se lance au Luxembourg

Uber Eats est ravi d'annoncer son lancement au Luxembourg, rendant la livraison ...

Uber Eats
Inclusion
10/07/2024 Communiqué

Microlux confirme ses missions sociales en devenant une Soci...

Microlux, la première institution de microfinance au Luxembourg, est fière d'a...

Microlux

Il n'y a aucun résultat pour votre recherche

Les cookies assurent le bon fonctionnement du site. En le consultant, vous acceptez l'utilisation des cookies. OK En savoir plus