7. Certification
L’évaluation/l’accréditation/la certification institutionnelles, professionnelles et des produits offrent aux consommateurs une confirmation indépendante et impartiale indiquant qu’un produit ou un service est conforme ou répond aux exigences et caractéristiques décrites dans une norme ou dans des spécifications techniques publiées. La vérification de la conformité aux exigences qui peut inclure les impacts en termes de performance, de sécurité, d’efficacité, d’efficience, de fiabilité, de durabilité ou d’environnement est réalisée au moyen de tests et/ou d’inspections.
Figure 5 : Rôle des normes dans les certifications sources : ENISA
Le programme de certification de la cyber-sécurité de l’IECEE teste et certifie la cybersécurité de produits et systèmes électrotechniques dans la sphère électrotechnique, reposant sur les normes IEC en vigueur. Le programme est applicable à tout secteur possédant une infrastructure critique, y compris le secteur médical, les services publics et l’automobile.
Ressources :
La Réglementation (UE) 2019/881 (loi sur la cybersécurité) établit l’infrastructure européenne de certification de la cybersécurité.
L’objectif de cette infrastructure est d’assurer un niveau adéquat de cybersécurité pour les produits, services et processus d’ICT, mais aussi de garantir la cohérence des programmes de certification de cybersécurité dans l’UE. Le programme de certification de la cybersécurité est un ensemble complet de règles, d’exigences techniques, de normes et de procédures qui s’applique à la certification de l’évaluation de conformité de produits, services ou processus d’ICT spécifiques.
En France, la certification repose sur des évaluations menées conformément aux spécifications ANSI ou aux normes conduites par l’autorité nationale en matière de sécurité et de défense des systèmes d’information (ANSSI), dont la licence est octroyée par le Premier ministre français et accréditée par le comité français d’accréditation (COFRAC) selon la norme EN ISO/CEI 17025.
L’accès à internet s’effectue via des dispositifs grand public et le programme d’évaluation de la conformité (ICAP) de l’IEEE développe et met en œuvre des programmes qui associent des activités de développement standard pour contribuer à accélérer l’adoption par le marché tout en réduisant les coûts de mise en œuvre. Consommateurs, fabricants, prestataires de services, revendeurs à valeur ajoutée et entreprises attendent des produits fiables, efficaces, sûrs et interopérables.
Les professionnels peuvent recevoir une certification en suivant des cours proposés par des organisations certifiées selon la norme ISO/IEC 17024:2021. Les cours certifiés présentent de nombreux avantages : confiance, reconnaissance mutuelle et échange global de personnel. L’International Information System Security Certification Consortium, Inc. (ISC)2 propose différentes certifications de sécurité des informations, y compris le certificat professionnel de sécurité des systèmes d’information certifiés (CISSP) destiné aux responsables possédant une bonne compréhension de la stratégie et des opérations de cybersécurité. La certification professionnelle peut être obtenue via l’ISACA et le COMPTIA.
Dans la gestion des cyber-incidents, les CSIRT participent et gèrent le statut des accréditations et des certifications d’une équipe au sein de la communauté Trusted Introducer (TI), ce qui est un prérequis à l’adhésion sur les réseaux internationaux comme FIRST.