La sagesse conventionnelle dans le domaine des normes héritées considère que des normes monolithiques produisent, sinon accélèrent, de meilleurs produits et services. La conformité, la certification et les systèmes de labellisation associés à ces normes étaient jugés essentiels pour instaurer la confiance. Bien que la législation sur la concurrence semble évoluer dans une autre direction, les organismes de normalisation réglementaire bénéficient d’une protection considérable contre la responsabilité de cartel anticoncurrentiel. Ces dernières années, l’émergence de politiques de « souveraineté numérique » a renforcé l’idée que « celui qui édicte la norme détient le marché ».
Cependant, ce qui est souvent ignoré dans le domaine de la cybersécurité, c’est que les actions nécessaires ne peuvent pas être abordées avec des normes traditionnelles de produits et de certification, qui sont généralement contre-productives. La cybersécurité ne se limite pas à évaluer un simple dispositif électrique pouvant être testé et restant dans un état constant. Elle constitue un état d’art en constante évolution, maintenu par un vaste et complexe éventail d’organisations à travers le monde pour des produits et services en perpétuel changement. Ces organisations représentent diverses communautés d’experts qui, à la fois, coopèrent et rivalisent souvent de manière indépendante. Aucune organisation de normalisation unique ne peut manifester l’ampleur des connaissances et de la participation requises. Aucun schéma de certification en cybersécurité ne saurait être suffisant pour un marché de consommation public.
Le légendaire « père » de la cybersécurité, Bernard Peters, récemment décédé, avait formulé les premiers fondamentaux en avril 1967 au nom de la National Security Agency américaine. Ces principes restent inébranlables : « 1) la sécurité ne peut être atteinte de manière absolue, 2) chaque système de sécurité cherche à atteindre une probabilité de perte proportionnelle à la valeur restituée par l’opération en cours de sécurisation, 3) pour chaque activité exposant des informations privées, précieuses ou classifiées à une possible perte, il est nécessaire de prendre des mesures raisonnables afin de réduire la probabilité de perte, 4) toute perte susceptible de survenir doit être détectée. » En d’autres termes, la gestion des risques doit se fonder sur le contexte immédiat et les ressources disponibles.
Peut-être à l’exception du récent schéma de labellisation des IoT, jugé farfelu par la FCC, les États-Unis ne se sont pas lancés dans des schémas de certification générale en cybersécurité, et aucun d’eux n’est obligatoire. Le NIST a parfois contraint indirectement la concurrence en matière de normes en cybersécurité par son affinité avec l’ISO/IEC, mais dans une large mesure, une concurrence étendue existe aux États-Unis.
L’Union européenne a été beaucoup plus active en adoptant des réglementations en matière de cybersécurité qui reposent sur des normes de cybersécurité normatives de différentes manières. Dans la plupart des cas, les réglementations utilisent des exigences de gestion des risques qui laissent la flexibilité nécessaire pour permettre la concurrence des normes en matière de cybersécurité, élément essentiel de l’efficacité réglementaire de l’UE. Cela se manifeste à travers un nouveau mouvement de l’UE vers des normes de cybersécurité ouvertes, illustré dans plusieurs organismes et exprimé dans le récent rapport du Centre européen de réglementation (CERRE) sur Le Système de Normalisation Européen à un Carrefours.
La concurrence en matière de normes de cybersécurité est particulièrement importante et complexe dans les écosystèmes de normes, juridiques et commerciaux européens. Les États membres de l’UE ont longtemps maintenu des industries de normes et de certification électriques solides, en lien avec les organismes de normes privés basés à Genève, l’ISO et l’IEC, à travers des organisations intermédiaires à l’échelle européenne, à savoir le CEN et le CENELEC. Ce sont des organisations fermées et hautement insulaires, dont les normes intègrent de manière monolithique un grand nombre de leurs propres normes additionnelles. Chaque fois que l’UE produisait un besoin en normes réglementaires, le CEN et le CENELEC répondaient par des processus tortueux pouvant prendre des années, consistant à déléguer le travail à des groupes ISO/IEC spécialement dédiés, puis à revendre les normes résultantes en tant que normes réglementaires européennes à des prix exorbitants pour financer ces activités. Ces normes pouvaient alors être modifiées et utilisées dans chaque État membre, ce qui favorisait des certifications nationales. Il s’agit d’un régime archaïque anciennement qualifié de « normes de jure ».
Ce schéma a été davantage ancré par une paire d’accords juridiques entre le CEN et l’ISO connus sous le nom d’Accord de Vienne (1991), et le CENELEC et l’IEC à travers plusieurs accords maintenant connus sous le nom d’Accord de Francfort. Un des objectifs populaires en 1991 était d’éviter la concurrence – habilitée par une exception aux interdictions de cartel de l’article 101 des traités européens. Ce schéma était faisable pour les prises électriques, mais s’avère peu utile, voire contre-productif, pour la cybersécurité.
La complexité de l’écosystème des normes de cybersécurité de l’UE est encore exacerbée par l’existence de l’ETSI en tant qu’organisme de normalisation principal des TIC et concurrent de normes de cybersécurité pour divers secteurs importants, en particulier indirectement pour les communications mobiles via 3GPP, ainsi qu’un organisme de normalisation européen désigné (ESO). L’ETSI est un organisme extrêmement ouvert et transparent, comptant près de 1000 participants de l’industrie, et dispose d’accords de coopération étendus avec d’autres organismes de normalisation, ce qui permet à ses normes bien rédigées d’être disponibles gratuitement à des URI permanents. En revanche, les normes du CEN/CENELEC ne sont essentiellement que des normes ISO/IEC républiées, uniquement disponibles à des prix exorbitants auprès de distributeurs agréés. Cependant, comme discuté ci-dessous, la plus haute cour d’Europe, la CJUE, a rendu un jugement large déclarant illégales les pratiques de paywall et demandant un changement.
Le concept d’ESO découle d’une paire d’instruments réglementaires de l’UE, l’un concernant la cybersécurité et l’autre le standardisation européenne, qui étaient destinés à être potentiellement modifiés afin de renforcer le rôle des « organismes nationaux de normalisation » des États membres avant le jugement de la CJUE. Aux termes de ces dispositions, les ESO agissent en tant que contractants pour la Commission européenne, mais disposent également du pouvoir d’être plus « ouverts » en désignant d’autres normes répondant aux exigences déterminées.
D’autres développements métanormatifs en matière de cybersécurité portent également une importance considérable, notamment avec l’émergence de DevSecOps, qui intègre diverses mesures dans l’ensemble du cycle de vie IT. Cela inclut des expressions de Software/Hardware Bill of Materials (SBOM/HBOM) qui offrent aux consommateurs une transparence sur les produits et déchargent une partie du fardeau de la cybersécurité sur les fabricants. Les mesures de cybersécurité liées à l’intelligence artificielle, où l’information est du code, impliquent également un vaste écosystème de normes mondiales. Une mise en œuvre efficace de ces mesures à travers des mandats réglementaires ne peut être accomplie que par des processus de normes ouverts et concurrentiels, permettant la reconnaissance des normes requises émergeant de leurs communautés diverses. Le Forum des Équipes d’Intervention et de Sécurité (FIRST) en est un exemple.
Effets du jugement de la CJUE
Le jugement de la Cour de Justice de l’Union Européenne a un effet fondamental et de grande portée sur la concurrence des normes en matière de cybersécurité dans l’Union européenne. La Cour n’a pas directement abordé les questions anticoncurrentielles, mais a fondé son jugement sur « un intérêt public prépondérant… découlant des principes de l’État de droit, de la transparence, de l’ouverture et de la bonne gouvernance… ». L’effet qui en résulte, cependant, rend la concurrence des normes de cybersécurité plus souhaitable car les consommateurs peuvent observer les processus d’élaboration des normes et comparer ce qui est offert (ou non) dans les normes.
Étant donné que les organisations ISO/IEC elles-mêmes ont, au fil des décennies, persisté en tant que seuls grands organismes de normalisation des TIC à maintenir des paywalls, ainsi que des processus d’élaboration de normes extrêmement lents et lourds, leur capacité à réellement rivaliser avec d’autres organismes de normes en matière de cybersécurité est fondamentalement entravée face au jugement de la CJUE. Leur modèle commercial a été largement basé sur des régimes réglementaires obligatoires qui désignent exclusivement leurs normes. Cette contrainte a un effet dérivé sur le CEN/CENELEC et ses capacités. Le succès du régime réglementaire européen en matière de cybersécurité dépend désormais de la possibilité de permettre une élaboration plus ouverte et compétitive des normes.
Une Écosystème de Normes Ouvert
En avançant vers 2025 et au-delà, les organismes de l’Union européenne, les États membres et les nations du Commonwealth ont la possibilité d’exercer un leadership mondial significatif en matière de mise en place de mesures de cybersécurité efficaces, flexibles et raisonnables à la pointe de la technologie. Toutefois, cela nécessitera de faciliter l’élaboration de normes en matière de cybersécurité qui englobent des communautés de normes multiples et diverses, des processus et une disponibilité de normes transparents et dynamiques, ainsi que des solutions open source. C’est une démonstration éclatante des valeurs européennes.
Notre point de vue
Il apparaît crucial d’adopter une approche proactive et inclusive face aux défis que pose la cybersécurité en Europe. En agissant pour favoriser une concurrence saine en matière de normes, nous pouvons encourager l’innovation et l’adoption des meilleures pratiques dans un domaine où la technologie évolue à une vitesse vertigineuse. La mise en place d’un écosystème de normes ouvert permettra non seulement de renforcer la cybersécurité, mais aussi de promouvoir une transparence salutaire au bénéfice des consommateurs. C’est un enjeu qui, sans doute, façonnera notre résilience face aux menaces numériques et pourra positionner l’Europe comme un leader dans ce domaine crucial pour notre avenir collectif.
- Source image(s) : circleid.com
- Source : https://circleid.com/posts/cybersecurity-standards-competition
Nos rédacteurs utilisent l'IA pour les aider à proposer des articles frais de sources fiables à nos utilisateurs. Si vous trouvez une image ou un contenu inapproprié, veuillez nous contacter via le formulaire DMCA et nous le retirerons rapidement. / Our editors use AI to help them offer our readers fresh articles from reliable sources. If you find an image or content inappropriate, please contact us via the DMCA form and we'll remove it promptly.