Yoann Klein - Senior Cybersecurity advisor, Huawei. (Photo: Huawei)

Yoann Klein - Senior Cybersecurity advisor, Huawei. (Photo: Huawei)

Parer efficacement aux menaces implique normes, processus et meilleures pratiques convenus au niveau international. C’est pourquoi, en juin 2019, l’UE a publié le CSA (Cyber Security Act). Le succès de sa mise en œuvre auprès des fournisseurs comme des utilisateurs définira notre aptitude à bâtir ensemble des fondations cyber solides. 

Les standards uniformisent les règles du jeu…

Outre l’identification des risques et la correction des vulnérabilités, il est crucial que les équipements et services utilisés au sein de l’UE soient élaborés en prenant systématiquement en compte les problématiques cyber dès les premières étapes de leur conception. La sécurité doit être intégrée en tant que capacité essentielle. Chez Huawei, par exemple, nous appliquons scrupuleusement notre , rassemblant 54 exigences de sécurité que nous optimisons en permanence depuis plus de 10 ans pour incorporer les derniers standards et meilleures pratiques.

Mais la cyber sécurité n’est malheureusement pas l’affaire que d’un seul acteur. En réalité, son champ d’application comprend des environnements qui sont de plus en plus vastes, complexes et interconnectés, reposant davantage sur l’interaction de personnes, de logiciels et de services. Elle nécessite aujourd’hui une grande transversalité, et de répondre à des domaines verticaux très variés.

Les standards sont des outils reconnus qui permettent d’assurer la cohérence nécessaire à l’échelle européenne (voire parfois mondiale), condition sine qua non pour une posture de sécurité harmonisée. C’est pourquoi le principal atout du Cyber Security Act est de garantir que toute évaluation de la cyber sécurité effectuée dans l’un des États membres de l’UE est valable et acceptée par tous ses membres, et qu’il n’est pas nécessaire de procéder à plusieurs évaluations.

… mais ne signifient pas la fin d’une protection cyber particularisée

Comme toute certification, le Cyber Security Act doit être entendu comme une démonstration des capacités du fournisseur, plutôt que comme une garantie de la sécurité du produit tout au long de sa durée de vie.

Une certification confirme la qualité et les capacités d’une version donnée d’un produit ou d’un service (et peut même être considérée comme une assurance de sécurité très forte), à la condition que l’utilisateur utilise exactement la même version du produit sans mises à jour ultérieures. Or, il est peu probable (et recommandable) que les éléments de nos réseaux n’évoluent pas durant leur cycle de vie. Ils sont régulièrement amenés à être améliorés avec des mises à jour, correctives ou incluant de nouvelles fonctionnalités pour répondre à des besoins particuliers.

Une implémentation réussie du Cyber Security Act (et, in fine, une meilleure protection de nos infrastructures) passera donc non seulement par des exigences strictes auprès des fournisseurs, mais également par un accompagnement auprès des utilisateurs et des opérateurs quant à la signification de ces futurs standards harmonisés. Il est tout aussi crucial de comprendre les avantages que les limitations d’une certification.

C’est pourquoi une transparence et une communication claire quant aux conditions et au périmètre d’évaluation des produits et services seront indispensables. Par exemple, dans le cadre des critères communs, encore aujourd’hui, trop d’organisations confondent niveau de sécurité et niveau d’assurance, ou alors omettent d’analyser précautionneusement la cible d’évaluation, élément pourtant essentiel dans la compréhension de ce qui a été certifié.

La cyber sécurité est une responsabilité partagée!

Pour plus d’informations sur la Huawei Product Security Baseline,