Entretien avec Constant Kohler, expert en élaboration de normes de cybersécurité

‍Constant, pouvez-vous expliquer brièvement votre rôle chez Siemens et comment vous êtes impliqué dans la normalisation ?

Constant Kohler : Bien sûr ! Je travaille à Bruxelles et mon rôle chez Siemens est principalement axé sur l'élaboration de normes et la réglementation, en particulier dans le domaine de la cybersécurité (au niveau tant européen qu'international). Avant de rejoindre Siemens, j'ai travaillé pendant cinq ans au centre de gestion du CEN et du CENELEC, les comités européens de normalisation. J'y ai découvert le monde des normes, leurs processus et leur contenu. Cela m'a permis d'acquérir des connaissances dans différents domaines, tels que la cybersécurité, l'intelligence artificielle et la blockchain, ou encore dans le vaste domaine de l'ingénierie électrique. Je suis aujourd'hui responsable de l'élaboration des normes, notamment pour la législation sur la cyberrésilience (CRA) et le passeport numérique des produits (DPP). À ce titre, je participe aux travaux de comités au niveau européen (CEN, CENELEC) mais aussi au niveau international (ISO, CEI).

Pourquoi est-il si important pour une entreprise comme Siemens de participer à la normalisation ?

Constant Kohler : Pour Siemens, la normalisation est essentielle, car elle permet de créer un terrain de jeu équitable pour les différents acteurs qui évolue dans un secteur donné. Les normes apportent de la clarté et de la cohérence, notamment lorsqu’elles sont développées pour soutenir une réglementation européenne ; ce qui est crucial pour faciliter les processus de conformité. Il est, en effet, important de développer des normes conformes à la législation et qui représentent aussi les besoins particuliers d’un secteur. C’est d’autant plus pertinent dans des secteurs en rapide évolution comme la cybersécurité, où nous devons constamment nous adapter à de nouvelles législations, mais aussi à l’évolution technologique. Il est ainsi essentiel de nous assurer que les normes sont adaptées à nos besoins (pour nos produits et systèmes), tout en garantissant le niveau le plus approprié de sécurité pour nos produits et systèmes, mais aussi pour tout l’écosystème. 

Vous avez indiqué que l'élaboration d'une norme peut prendre plusieurs années. Pouvez-vous en dire plus sur ce processus ?

Constant Kohler : Oui, l’élaboration d'une norme prend généralement entre deux et trois ans. Tout commence au niveau national, où des organisations comme le NBN désignent des experts pour participer aux activités des comités techniques (CT) européens ou internationaux. Ces CT réunissent différents experts, notamment des représentants de l'industrie, des PME, des législateurs, des universitaires, des représentants de la société civile... Les groupes de travail (GT), qui opèrent sous l’autorité des CT, sont eux aussi très diversifiés et composés d'experts aux profils variés. L’objectif des groupes de travail est de fonctionner sur la base du consensus. Cela signifie qu’aucun vote n’a lieu au sein du groupe : l’idée est toujours de parvenir à un accord raisonnable entre tous les membres sur les normes et spécifications techniques en cours d’élaboration.

Le rythme de travail des groupes est généralement très soutenu, avec parfois plusieurs réunions par mois, surtout lorsqu’ils élaborent des normes destinées à soutenir la législation européenne. L’un des plus grands défis consiste à combiner différentes expertises techniques, juridiques et procédurales, notamment dans des domaines comme la cybersécurité, où les menaces évoluent sans cesse et où un large éventail de compétences est nécessaire pour garantir la conformité des normes aux exigences de la Commission européenne. Les groupes doivent également respecter des délais de plus en plus serrés fixés par cette dernière (par exemple pour le CRA ou le DPP). Une norme dont l’élaboration nécessitait autrefois trois ans doit désormais souvent être finalisée en moins d’un an et demi à deux ans.

Quels sont les principaux avantages pour une entreprise comme Siemens de participer activement à la normalisation ?

Constant Kohler : Les avantages sont nombreux. Tout d’abord, cela nous permet d’avoir une visibilité précoce sur les futures normes, ce qui nous aide à adapter nos produits et nos processus de manière proactive. Ensuite, cela nous offre la possibilité de participer directement à l’élaboration des normes, ce qui représente un atout stratégique. Les normes définissent les exigences légales auxquelles les produits doivent répondre. Les entreprises qui prennent part activement au processus de normalisation ont la possibilité d’influencer ces exigences d’un point de vue technique, ce qui peut leur conférer un avantage concurrentiel évident.

Quel est le rôle de l'Europe dans le domaine des normes de cybersécurité ? Sommes-nous en avance ou suivons-nous les tendances internationales ?

Constant Kohler : L'Union européenne est, en effet, à la pointe de la législation en matière de cybersécurité. En témoignent des initiatives telles que la législation sur la cyber-résilience et la directive NIS2, qui obligent les entreprises à adopter des mesures de sécurité plus strictes pour leurs produits et systèmes informatiques. Ce qui peut distinguer l’Europe, c’est son approche basée sur les risques. Les entreprises doivent ainsi mettre en place des mesures adaptées aux risques spécifiques auxquels elles sont confrontées, plutôt qu’une solution universelle, applicable pour tous. Cette approche donne aux entreprises un certain niveau de flexibilité afin de choisir la meilleure formule et les meilleures solutions techniques en fonction de leur situation particulière et des risques inhérents à leurs fonctionnalités ou environnement d’usage. Cette approche permet de sécuriser les produits ou les systèmes d’information de la manière la plus adéquate possible.

À l’échelle internationale, d’autres zones comme les États-Unis, la Chine et l’Inde élaborent également leur propre législation. Certaines s’inspirent de l’Union européenne, comme ce fut le cas pour le RGPD. Cela rend la question de l’harmonisation réglementaire particulièrement importante pour des entreprises comme Siemens, actives à l’échelle mondiale. Dans cette optique, les normes européennes ou internationales contribuent à harmoniser les réglementations. C’est aussi la raison pour laquelle Siemens participe activement à l’élaboration des normes. ‍

Quel est votre rôle dans l'élaboration de normes spécifiques ? Pouvez-vous nous donner un exemple concret ?

Constant Kohler : Un projet récent auquel j'ai contribué est l'élaboration de la série de normes EN 18031, qui définit les exigences de cybersécurité pour les équipements radio. Cette norme a été mise en place en réponse à la directive européenne sur les équipements radio (RED). Le point intéressant de cette norme est qu'elle s'applique à un large éventail de produits, allant des brosses à dents connectées aux systèmes d'automatisation industrielle. Au-delà des contributions techniques, j’ai été particulièrement impliqué dans la vérification des normes par rapport aux exigences de la Commission européenne, en clair analyser le contenu technique dans une perspective juridique. Cela correspondait à la vérification du contenu technique, mais aussi à l’élaboration de rapports expliquant l’approche prise par la norme, son applicabilité et la manière dont elle répond aux exigences de la Commission européenne.

Quelle est votre expérience personnelle du travail au sein de ces groupes de travail internationaux ?

Constant Kohler : La collaboration dans ces groupes de travail est très intense, mais aussi extrêmement enrichissante. Nous travaillons avec des personnes de différents pays, secteurs et disciplines, ce qui crée un environnement de travail très diversifié. Cela peut parfois constituer un défi, notamment lorsque les participants viennent d’univers différents et ne parlent pas forcément la même langue. Les ingénieurs et les juristes peuvent, par exemple, aborder les problématiques sous des angles très différents et il peut être difficile de trouver un langage commun. Mais c’est aussi ce qui rend ce travail si enrichissant. Il s'agit toujours de trouver des compromis et de bâtir des ponts entre des perspectives différentes, ce qui permet une grande richesse dans l’échange d’idées.

Ce que j’apprécie particulièrement, c’est que tous les experts dans ces groupes de travail partagent un objectif commun : développer des normes largement applicables et qui permettent d’élever le niveau de sécurité en Europe et dans le monde. L'ambiance est généralement très collégiale et constructive, même lorsqu'il y a des désaccords.

La participation à ces commissions s’accompagne-t-elle de défis ?

Constant Kohler : Absolument, les défis sont nombreux. L’un des principaux est le rythme de travail, qui s’est considérablement intensifié. Comme je l’ai mentionné, les délais d’élaboration des normes se raccourcissent sans cesse, ce qui entraîne une multiplication des réunions. Alors qu’auparavant nous n’avions qu’une seule réunion plénière par an, les groupes de travail se réunissent aujourd’hui plusieurs fois par mois. Il devient donc plus difficile de concilier ces engagements avec mes autres responsabilités.

En outre, l’élaboration des normes exige de plus en plus de connaissances spécialisées. Il ne suffit plus d’avoir une expertise technique ; il faut également prendre en compte des aspects plus juridiques, voire géopolitiques ! En outre, au-delà des « hard skills », les « soft skills » sont particulièrement importantes et valorisées (capacité d’exprimer des idées clairement, de savoir les « vendre », convaincre les experts…). Cela demande un large éventail de compétences et une bonne compréhension du contexte dans lequel ces normes sont développées.

Qu'est-ce qui vous apporte le plus de satisfaction dans votre travail au sein de ces groupes de travail ?

Constant Kohler : Pour moi, c’est une expérience extrêmement enrichissante. Ce n’est pas seulement un défi intellectuel, c’est aussi une occasion unique de collaborer avec des experts remarquables venus du monde entier. On apprend constamment. Le réseau que l’on développe en participant à ces commissions est d’une valeur inestimable. On apprend des autres, tout en partageant sa propre expertise et en contribuant à définir l’avenir du secteur.

Il est également très gratifiant de savoir que le travail que nous accomplissons a une influence directe sur la sécurité et la fiabilité des produits utilisés dans le monde entier. Les normes n’aident pas seulement les entreprises à se conformer à la législation : elles garantissent aussi aux consommateurs la confiance dans les produits qu’ils achètent.

Si l'on considère la carrière que vous avez menée jusqu'à présent dans le domaine de l'élaboration des normes, quelle est l'une de vos plus grandes réalisations ?

Constant Kohler : L'un des projets dont je suis le plus fier est ma contribution à la norme EN 18031. C'était un projet très complexe, sur le plan tant technique que logistique en raison des délais serrés. Mais il était tout aussi gratifiant de voir tous les experts collaborer pour finaliser la norme dans les délais.

Ce qui a rendu ce projet particulièrement spécial pour moi, c’est mon rôle dans le rapprochement entre les experts techniques et les exigences juridiques de la Commission européenne. Mon travail consistait à faire en sorte que la norme soit non seulement techniquement solide, mais aussi conforme à la législation en vigueur. C’était un défi, mais aussi une expérience très enrichissante.