Adopté par l’Union européenne en mars 2019, le Cybersecurity Act a pour objectif de renforcer la résilience des systèmes d’information, des infrastructures critiques et des technologies des entreprises européennes face aux cyberattaques. Comme l’explique une éclairante analyse postée sur le Journal du Net, ce texte ambitieux vise à créer un environnement numérique harmonisé, sécurisé et fiable au sein de l’UE. Pour ce faire, il consolide les mécanismes de protection contre les cybermenaces tout en instaurant des certifications garantissant la sécurité des produits, services et processus numériques.
Une transformation nécessaire des stratégies de sécurité informatique
Le texte confère à l’ENISA (Agence de l’Union européenne pour la cybersécurité) un rôle accru. Depuis 2024, l’agence agit en tant que centre de coordination européen pour la gestion des cybermenaces, en soutenant les États membres et en participant à l’élaboration des certifications en matière de cybersécurité. Ces certifications exigent des entreprises une transformation profonde de leurs stratégies de sécurité informatique, notamment par l’investissement dans des technologies avancées, la formation continue des équipes et le recrutement d’experts en cybersécurité. Toutefois, cette transition peut s’avérer difficile, surtout pour les PME disposant de ressources financières limitées.
En effet, le Cybersecurity Act impose des normes de cybersécurité à la fois complexes et techniques, que ce soit d’un point de vue informatique ou juridique. Les schémas de certification sont ajustés en fonction des niveaux de risque — élémentaire, substantiel et élevé (pour les infrastructures critiques) — afin de garantir une certification proportionnée au contexte dans lequel le produit, le service ou le processus est utilisé. Les certifications délivrées dans le cadre de ces schémas sont temporaires, avec une validité de 3 à 5 ans, nécessitant un renouvellement régulier.
Choisir la certification adaptée
Les entreprises doivent donc prêter une attention particulière aux exigences de leurs clients et à celles du marché pour sélectionner le schéma de certification le plus approprié. Elles peuvent solliciter l’aide de l’ENISA ou de l’ANSSI — qui deviendra l’Autorité Nationale de Certification de Cybersécurité en France — afin d’obtenir des recommandations. Une fois le niveau de certification déterminé, il leur faudra faire appel à un organisme accrédité pour évaluer la conformité de leurs produits et services. Cette démarche implique la collaboration avec des spécialistes de la cybersécurité et des juristes qualifiés, ainsi qu’un investissement dans des outils technologiques dédiés et la formation des employés.
Lire aussi sur L’Essor de la Sécurité : Le Royaume-Uni, les Etats-Unis et l’UE signent le premier traité international sur l’IA
Bien que ces coûts soient significatifs, ils sont essentiels pour s’adapter aux bouleversements réglementaires à venir. Comme le souligne l’auteur de la tribune du Journal du Net, cette mise en conformité permet aux entreprises non seulement de répondre rapidement aux exigences légales, mais aussi de saisir de nouvelles opportunités de développement, de renforcer leur compétitivité et d’accroître leur résilience face aux menaces numériques.