A quelques jours de l’ouverture des Assises de la sécurité à Monaco (du 11 au 14 octobre), Jean-Noël de Galzain, PDG de Wallix, président d’Hexatrust (une association qui regroupe les entreprises françaises de la cybersécurité) et secrétaire national du réseau French Tech security & privacy, nous a fait partager ses derniers engagements sur le front de l’industrie numérique, et plus spécifiquement de la cybersécurité.

Dernier cheval de bataille du serial entrepreneur, la question de la certification des solutions de cybersécurité. Dans un courrier adressé le 2 octobre dernier au premier ministre Edouard Philippe, Jean-Noël de Galzain - avec le concours de l’ACN - interpelle le chef du gouvernement sur le remplacement des « schémas de certification existants actuellement en France et en Europe en conférant à l’ENISA et à la Commission européenne le contrôle total de l’élaboration et de la validation de tout nouveau schéma de certification à venir, et ce, pour tous les secteurs d’activités. » Les autorités de contrôle nationales - comme l’Anssi en France ou le Bsi en Allemagne - se retrouveraient dépourvues de tout pouvoir, et limitées à un rôle consultatif.

L'Anssi perdrait une partie de ses prérogatives 

Le débat autour de la certification des outils de cybersécurité et de cyberdéfense n’est pas nouveau. Les fournisseurs étrangers poussent depuis de nombreuses années à une certification européenne qui permettrait à un acteur finlandais comme F-Secure de certifier ses plateformes au seul niveau européen pour les vendre plus facilement dans les 28 pays de la communauté. Cisco en rêve tout comme Kaspersky Labs puisque les certifications sont particulièrement onéreuses si elles sont répétées 28 fois. Guillaume Poupard nous avait déjà confié, qu’il travaillait sur une certification commune avec ses homologues du BSI Outre-Rhin.

Jean-Noël de Galzain soulève un autre point dans sa missive au premier ministre : « Les certificats [futurs] étant valables sur l’ensemble du territoire européen, une incertitude majeure pèse sur l’homogénéité des niveaux de sécurité selon le pays d’origine dans lequel est émis le certificat. » C’est pourquoi le président du groupement Hexatrust appelle à une mobilisation de tous les services concernés pour réorienter cette initiative européenne afin de protéger les OIV et conforter l’industrie numérique européenne. « Cette proposition de règlement risque donc de supprimer les quelques vingt ans d’avance des entreprises européennes de la sécurité numérique au profit d’entreprises non européennes. »