Pierre Desmarais : “Vers un schéma de certification de cybersécurité pour les produits et services dédiés à la santé ?”

Dans le règlement paru au Journal officiel de l’Union européenne le 7 juin 2019, les dispositions relatives à l’Agence ne présentent qu’un intérêt modéré pour les professionnels du secteur de la santé, à la différence de celles ayant pour objectif d’atteindre un niveau élevé de cybersécurité, de cyber-résilience et de confiance en recourant à des certifications de cybersécurité des « produits TIC », « services TIC » et « processus TIC ». En effet, si le Cybersecurity Act s’applique sans préjudice d’une réglementation européenne spécifique, force est de constater que la santé – pourtant domaine réservé des États membres – semble concernée par le texte. La compétence des États membres semble en effet limitée aux activités relatives à la sécurité publique, à la défense et à la sécurité nationale, et à la sphère pénale.

Autre élément à prendre en compte, le règlement concerne les produits, services et processus TIC et vise des données, sans plus de précision, de sorte que peuvent entrer dans son champ d’application tous les produits connectés et les services numériques.

L’objectif pratique est d’assurer la sécurité, mais également le fonctionnement du marché unique européen en matière numérique. Or, voir chaque État membre devoir établir son propre référentiel pour tel ou tel produit ou service TIC – qui a pensé à l’hébergement de données de santé ? – engendrerait des problèmes d’interopérabilité rendant le marché unique inopérant. Pour y remédier, l’Union européenne a donc décidé de fixer un cadre européen, décliné par des « schémas européens de certification de cybersécurité ».

Dix objectifs de sécurité

Ces schémas devront fixer les objectifs de sécurité sur dix aspects différents : outre les aspects classiques de la sécurité, tels que définis par exemple au RGPD, les schémas devront revenir sur les politiques d’habilitation des utilisateurs en termes d’accès aux données, services ou fonctions, la conservation et l’audit des traces de consultation, d’utilisation et de traitement des données, fonctions ou services. Les schémas devront également fixer des objectifs en termes de vérification des vulnérabilités connues des produits et services, tout au long de leur cycle de vie. À cet égard, les schémas reviendront nécessairement sur les mécanismes de mise-à-jour des produits et services. Notons enfin que le règlement impose le Security by Default et le Security by Design.

Les exigences des schémas de certification varieront selon la sensibilité du produit, du service ou du processus TIC, chaque niveau ayant ses propres contraintes en termes de formalités à accomplir.

De façon concrète, le niveau d’assurance « élémentaire » visera les produits et services grand public, non critiques, tandis que le niveau « élevé » sera appliqué en présence d’un risque d’attaques majoré. Le niveau intermédiaire, dit « substantiel », pourrait s’appliquer à l’informatique en nuage.

La santé est le premier exemple de “secteur clé” visé

Ces schémas seront établis par l’Enisa, à la demande de la Commission européenne et, vu le premier paragraphe du texte, notre domaine de prédilection pourrait rapidement être touché. La santé est en effet le premier exemple de « secteur clé » visé par le législateur européen.

Certains pourraient y voir une nouvelle source de contraintes. Un schéma dédié aux produits et services de santé pourrait être l’occasion de combler une lacune fréquemment dénoncée du RGPD : son côté non-prescripteur. En effet, si la liberté d’action que cela devait offrir était souhaitable en théorie, en pratique les fabricants et éditeurs se retrouvaient parfois confrontés à une page blanche angoissante. Les schémas pourraient sinon faire disparaître, à tout le moins réduire cette perception.