La proposition de la Commission relative à une nouvelle loi sur la cyber résilience cible les objets connectés. Elle introduit en effet des exigences de sécurité pour les produits de l’Internet des objets (IDO), entre autres produits numériques.
La naissance du « Cyber Resilience Act »
La Commission européenne a récemment proposé un nouveau Règlement européen sur la cyber résilience, connu sous le nom de « Cyber Resilience Act ».
Cette proposition de la Commission européenne a pour objectif d’harmoniser les règles de cybersécurité pour les produits logiciels et matériels au sein de l’Union européenne.
Elle vise à tenir compte des exigences de sécurité fondamentales de la protection des environnements technologiques du Règlement européen sur la cyber résilience.
Elle n’inclut cependant pas les produits numériques qui ont déjà été réglementés par d’autres législations spécifiques existantes, comme par exemple les dispositifs médicaux encadrés par le Règlement relatif aux dispositifs médicaux (Règlement (UE) 2017/745).
En outre, les produits numériques réglementés par le Règlement de Sécurité Générale des véhicules (Règlement (UE) 2019/2144) et le Règlement concernant des règles communes dans le domaine de l’aviation civile (Règlement (UE) 2018/1139) sont également spécifiquement exemptés de la loi sur la cyber résilience.
La régulation des objets connectés actuels
Selon la Commission européenne « si tout est connecté, tout peut être piraté ».
L’encadrement de ce secteur devient donc nécessaire avec des règles plus restrictives. On estime à 5,5 trillions d’euros le coût annuel de la cybercriminalité liée aux produits matériels et logiciels (1).
En conséquence, l’approche de la Commission européenne vise à compenser sa réaction tardive en matière de sécurité dans la mesure où la législation européenne actuelle ainsi que la législation du marché intérieur ne couvraient pas jusqu’alors la cybersécurité de tous les produits matériels et logiciels.
Par conséquent, comme les attaques à l’encontre de ces produits entraînent des coûts considérables et peuvent mettre la vie des personnes en danger, il était grand temps de réagir.
L’European Digital SME Alliance estime ainsi que la prévention des cyberattaques et de la cybercriminalité pourrait permettre aux entreprises d’économiser entre 180 et 290 milliards d’euros par an (2).
Les nouvelles règles de cybersécurité
Le Cyber Resilience Act impose le concept de « security by design ». Il crée une liste d’exigences essentielles à respecter en matière de cybersécurité. Les fabricants, importateurs et distributeurs d’appareils et de services connectés doivent les respecter. Comment ? Par le biais de la certification, de l’établissement de rapports et d’évaluations de la conformité.
Les fabricants de matériel informatique vont devoir respecter ces exigences tout au long du cycle de vie de leurs produits.
Une responsabilité accrue pèsera sur les constructeurs et développeurs de matériel et de logiciels.
Ils devront fournir un support de sécurité et des mises à jour logicielles permettant d’identifier les vulnérabilités pendant une « période raisonnable » après la mise sur le marché d’un nouvel appareil.
En conséquence, les consommateurs vont disposer d’informations détaillées et présentées comme assurant la cybersécurité des produits qu’ils souhaitent utiliser.
Ainsi, afin de se conformer aux nouvelles exigences de la loi sur la cyber résilience, les objets connectés devront être :
- conçus, développés et produits avec un niveau approprié de cybersécurité ;
- livrés sans vulnérabilités exploitables connues ;
- fournis avec une configuration sécurisée par défaut .
De plus, afin de se conformer aux nouvelles exigences de cette loi, les fabricants de objets connectés devront :
- se protéger contre les accès non autorisés grâce à des outils tels que l’authentification et la gestion des identités ;
- protéger la confidentialité des données en traitant et en chiffrant éventuellement les données pertinentes ;
- protéger l’intégrité des données stockées, transmises ou traitées ;
- minimiser la collecte de données pour ne traiter que ce qui est adéquat et pertinent pour l’utilisation prévue ;
- atténuer le déni des fonctions ou services essentiels ;
- limiter les surfaces d’attaque ;
- réduire les effets de l’exploitation et l’impact d’un incident de cybersécurité ;
- enregistrer ou surveiller les informations pertinentes liées à la sécurité ;
- remédier aux vulnérabilités futures par des mises à jour de sécurité et de préférence automatique, qui informent les utilisateurs.
A suivre…
Le Parlement et le Conseil de l’UE examinent actuellement la proposition et discutent d’éventuelles modifications, notamment de l’exclusion des solutions de SaaS de son champ d’application (3).
Une fois adopté, les fabricants auront deux ans pour s’adapter aux nouvelles exigences. Une tâche colossale attend donc les fabricants.
L’Union européenne espère que l’application de ce règlement aura un impact mondial, à l’instar du RGPD (4). Il s’appliquera en effet à toutes les entreprises européennes commerçant hors de l’Europe.
Frédéric Forster
Iris Haralovic
Lexing Télécoms
Notes
(1) Cybersécurité Ventures, cité dans le rapport du Centre commun de recherche (2020) : Cybersecurity : our digital Anchor, a European perspective : https://publications.jrc.ec.europa.eu/
(2) European Digital SME Alliance : https://www.digitalsme.eu/
(3) Luca Bertuzzi, Cyberrésilience : le Conseil de l’UE propose d’exclure les logiciels en tant que service de la nouvelle législation, EURACTIV.com, 7 déc. 2022.
(4) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.