Un terrain de jeu harmonisé pour l'industrie européenne de la sécurité
Que ce soit dans le monde ou au niveau de l'UE, les produits, systèmes et services de sécurité figurent parmi les marchés connaissant la croissance la plus forte. Une concurrence internationale croissante et les évolutions du marché semblent malheureusement indiquer que si aucune action n'est entreprise, la part de marché des entreprises européennes risque de fortement diminuer dans les années à venir. Pour contrer ce risque, le projet CRISP, financé par l'UE, a contribué à développer un terrain de jeu harmonisé pour l'industrie européenne de la sécurité, en concevant un système solide pour la certification des produits de sécurité. «Harmoniser le marché européen de la sécurité exige un système de certification global et paneuropéen, ce qui était précisément l'objectif du projet CRISP», déclare Ronald Boon, coordinateur de CRISP. Ajouter une dimension sociale et juridique à la gestion de la sécurité Au cours de la dernière décennie, les systèmes de certification se sont généralisés, car ils constituent un moyen de favoriser et renforcer la protection qu'apportent les systèmes de sécurité. De nos jours, les utilisateurs sont devenus plus exigeants et demandent plus de responsabilisation et de contrôles de qualité tout au long de leur chaîne d'approvisionnement. «La certification contribue à améliorer le service aux clients, et ceux-ci l'apprécient beaucoup car ils se sentent mieux traités et comprennent mieux leurs obligations», explique M. Boon. «Au final, la certification permet aux utilisateurs d'utiliser 'encore mieux' un système de sécurité.» Dans cet esprit, les chercheurs de CRISP se sont intéressés au développement d'une nouvelle méthodologie d'évaluation et de certification des systèmes de sécurité, qui intègre également des critères d'évaluation basés sur les dimensions sociale et juridique. «Nous ne voulons pas seulement que le système de certification CRISP favorise un terrain de jeu harmonisé, nous voulons également qu'il renforce la confiance des citoyens à l'égard des technologies de sécurité et, au final, qu'il apporte une protection plus efficace», déclare M. Boon. La méthodologie qui en résulte est basée sur une taxonomie englobant divers produits et services de sécurité issus d'un éventail d'applications, prenant en compte les différents rôles d'une communauté d'acteurs divers parmi lesquels on compte les fabricants, les organismes de réglementation et de certification, les autorités de protection des données et les utilisateurs. «La partie vraiment pionnière de la méthodologie CRISP tient au fait qu'elle permet de s'assurer qu'un système a été évalué en utilisant les quatre dimensions STEFi (Security, Trust, Efficiency and Freedom infringement: sécurité, confiance, efficacité et atteinte à la liberté)», déclare M. Boon. Selon lui, l'intégration des dimensions STEFi est particulièrement innovante car la certification était jusqu'alors principalement axée sur l'évaluation des exigences techniques. Des normes harmonisées Les principaux résultats du projet sont les suivants: une taxonomie des produits, systèmes et services de sécurité; un rapport sur les normes de sécurité et de certification en Europe; un manuel et une feuille de route pour la certification; et un plan de mise en œuvre. Sa contribution la plus importante est cependant la publication d'un document de normalisation par le CEN, appelé Accord d'atelier CEN (CWA). Ce CWA décrit la méthodologie d'évaluation et fournit des exemples de critères basés sur chacune des dimensions STEFi. «En ce qui concerne les développements récents, le projet CRISP propose un système unique de certification qui comble le fossé entre sécurité et respect de la vie privée», conclut M. Boon. «L'application de ce système mettra également les utilisateurs en phase avec la nouvelle réglementation européenne en matière de protection de la vie privée (GDPR).»
Mots‑clés
CRISP, cybersécurité, sécurité, confidentialité des données