*VERS UNE CERTIFICATION INTÉGRÉE DE LA CYBERSÉCURITÉ EUROPÉENNE : L’EUCC À L’ÉPREUVE DE LA CRA* Dans un monde numérique où la menace cybernétique plane comme une ombre persistante sur nos sociétés connectées, l’Europe affine son arsenal réglementaire avec un objectif clair : bâtir une souveraineté numérique fondée sur la sécurité, la transparence et la responsabilité. Le 3 juin 2025, l’ENISA, l’agence européenne pour la cybersécurité, en étroite collaboration avec la Commission européenne, initiera une série mondiale de webinaires destinée à éclairer l’interaction entre deux piliers de cette stratégie : le système européen de certification en cybersécurité (EUCC) et le nouveau cadre réglementaire de la loi sur la cyber-résilience (Cyber Resilience Act - CRA). Bien au-delà d’un simple événement technique, ces webinaires ambitionnent d’engager les parties prenantes internationales dans une réflexion structurante : comment faire converger les exigences de la CRA avec les mécanismes d’évaluation de l’EUCC pour édifier un système de conformité cohérent, opérant et reconnu ? En d’autres termes, peut-on démontrer, à travers une certification EUCC, la conformité aux exigences essentielles de cybersécurité prévues par la CRA ? La réponse à cette question façonnera la gouvernance de la cybersécurité des produits numériques pour les années à venir. *L’ESSENCE DE LA CYBER-RÉSILIENCE : ENTRE NORME ET RESPONSABILITÉ* La CRA, entrée en vigueur le 10 décembre 2024, s’impose comme le socle normatif de l’ère numérique européenne. Elle fixe un corpus transversal d’exigences de cybersécurité pour tous les produits comportant des éléments numériques, du plus banal capteur domestique à l’équipement industriel critique. Elle opère une gradation des obligations selon le niveau de risque des produits, introduit la notion de conformité présumée et oblige les fabricants à démontrer une conception sécurisée, une maintenance continue et une réponse coordonnée aux vulnérabilités. Mais l’architecture de conformité du CRA n’est pas monolithique : elle propose plusieurs voies aux industriels pour prouver leur conformité, parmi lesquelles les certifications européennes en cybersécurité comme l’EUCC occupent une place centrale. Si la certification n’est pas obligatoire, elle ouvre une voie royale vers la conformité présumée prévue à l’article 27, à condition d’atteindre un niveau d’assurance au moins « substantiel ». Ce principe de proportionnalité vise à conjuguer rigueur réglementaire et flexibilité industrielle. *L’EUCC, BRIQUE CLÉ DE LA CERTIFICATION EUROPÉENNE* L’EUCC s’appuie sur les critères communs (Common Criteria - CC), norme internationale bien établie pour l’évaluation de la sécurité des technologies de l’information. Il repose sur deux composantes : les exigences fonctionnelles de sécurité (SFRs) et les exigences d’assurance de sécurité (SARs), encadrées dans des « Profils de Protection » (PP) qui définissent des contextes types d’usage et de menaces. La publication récente de l’étude de cartographie entre la CRA et l’EUCC par l’ENISA marque une avancée cruciale : elle propose une méthodologie technique pour analyser, par comparaison, dans quelle mesure les certificats EUCC peuvent répondre aux exigences essentielles de cybersécurité (ESRs) de la CRA. Elle ne prétend pas imposer une lecture unique, mais offre un cadre de travail rigoureux permettant aux industriels et évaluateurs de structurer leur démarche de conformité. Cette étude met en lumière les chevauchements, les lacunes potentielles et les voies d’adaptation entre les deux régimes, notamment dans les cas où les PPs existants ne couvrent pas entièrement les ESRs définis à l’annexe I de la CRA. Elle propose également des pistes concrètes de mise à jour des PPs, d’élaboration de profils génériques, voire d’adaptation des portées de certification pour inclure les éléments critiques comme le traitement de données à distance. *VERS UNE CONVERGENCE OPÉRATIONNELLE : LE RÔLE DES ACTEURS INDUSTRIELS* Au cœur de cette dynamique, l’ENISA appelle à une mobilisation collective. Elle invite les fabricants, les organismes d’évaluation de la conformité (CABs), les experts en cybersécurité et les autorités nationales à s’impliquer activement dans la mise à l’épreuve concrète de cette cartographie. Ces expérimentations pilotes permettront de confronter les hypothèses réglementaires à la réalité industrielle, d’identifier les obstacles techniques et d’enrichir les retours d’expérience. L’étude souligne aussi l’importance cruciale du périmètre de certification : il ne suffit pas que les composants critiques d’un produit soient évalués, il faut que la certification couvre l’ensemble du périmètre fonctionnel pertinent, y compris les services de traitement de données distants (remote data processing - RDP), souvent négligés dans les PPs actuels. Faute d’inclusion explicite, des justifications techniques rigoureuses devront être produites pour démontrer la robustesse de la sécurité de l’ensemble du produit. La possibilité d’inférer une conformité à la CRA à partir d’un certificat EUCC dépendra ainsi non seulement de la qualité intrinsèque du certificat, mais aussi de sa capacité à appréhender l’ensemble des fonctions numériques et de leur interaction avec l’environnement opérationnel. *UNE INDUSTRIE À FORMER, UNE MÉTHODOLOGIE À RENFORCER* L’ENISA insiste sur un point fondamental : les CABs actuels du système EUCC peuvent en théorie répondre aux exigences imposées aux organismes notifiés CRA par l’article 39 de cette dernière, à condition d’une formation adéquate. Les questions spécifiques à la CRA (niveau d’assurance, traitement de données, obligation de correction, suivi post-commercialisation, etc.) exigent un outillage méthodologique et une expertise qui dépassent le cadre standard du CC. Un effort de montée en compétence est donc nécessaire, tout comme une coordination entre les instances de normalisation, les autorités nationales et les organes communautaires. Les ateliers techniques prévus pour fin 2025 serviront de catalyseur à cette ambition. Ils permettront, à partir des travaux amorcés par ces webinaires, d’aboutir à une mise à jour cohérente et harmonisée des Profils de Protection et, au-delà, à l’esquisse d’un cadre commun européen de certification pleinement aligné avec les exigences de la cyber-résilience. *CONCLUSION* La cybersécurité, dans le projet européen, n’est plus un supplément d’âme : elle devient un pilier de confiance, de compétitivité et de souveraineté. Le dialogue entre l’EUCC et la CRA incarne cette mutation. Il s’agit moins d’un simple ajustement technique que d’un véritable projet politique et industriel. C’est l’architecture même de la sécurité numérique européenne qui est en jeu : modulaire, fondée sur la preuve, mais aussi capable de refléter la complexité des usages et des technologies émergentes, en particulier les environnements cloud et les chaînes logistiques numériques. En engageant la communauté internationale autour de ces travaux, l’ENISA trace un chemin exigeant mais indispensable : celui d’une certification européenne unifiée, crédible et opérante, capable d’inspirer les autres continents. Cette convergence entre exigence réglementaire et capacité d’évaluation pourrait bien devenir, à terme, le modèle de référence mondial. https://certification.enisa.europa.eu/news/enisa-launches-global-series-webinars-interplay-between-eucc-and-cyber-resilience-act-cra-2025-05-16_en #euroscope #cyberresilience #eucc #enisa #cybersecurity #digitalsovereignty #normeseuropéennes https://buymeacoffee.com/euroscope