Frédéric Forster évoque les nouvelles règles de sécurité européennes des objets connectés dans sa dernière chronique pour EDI Mag.
Dans son article intitulé « Objets connectés : vers de nouvelles règles de sécurité européennes », paru dans le dernier numéro de EDI mag (n°123, décembre 2022 Janvier 2023), Frédéric Forster, directeur du pôle Télécoms du cabinet Lexing Alain Bensoussan Avocats, présente les enjeux du Cyber Resilience Act que la Commission européenne a initié le 15 septembre 2022 et qui est actuellement en discussion au Parlement européen.
L’objectif de ce dispositif : harmoniser les règles de cybersécurité pour les produits logiciels et matériels au sein de l’Union européenne.
Comme le précise toutefois Frédéric Forster : « tous les produits numériques ne seront cependant pas concernés ». Puisque ceux qui font déjà l’objet d’une réglementation ne se verront pas surajouter celle du projet de règlement. « Tel sera le cas, par exemple des dispositifs médicaux, encadrés par le Règlement relatif aux dispositifs médicaux ».
Objets connectés : de nouvelles règles de sécurité
Et d’ajouter : « Selon la Commission européenne ‘si tout est connecté, tout peut être piraté’ ».
« Il était donc nécessaire pour elle de réglementer ce secteur avec des règles plus restrictives car le coût annuel de la cybercriminalité liée aux produits matériels et logiciels est estimé à 5,5 trillions d’euros ».
IOT : les nouvelles règles de cybersécurité
Le Cyber Resilience Act impose le concept de « security by design ». Il crée une liste d’exigences essentielles en matière de cybersécurité.
Les fabricants, les importateurs et les distributeurs d’appareils et de services connectés devront les respecter. Ceci par le biais de la certification, de l’établissement de rapports et d’évaluations de la conformité, et ce, tout au long du cycle de vie de leurs produits.
Ils seront également tenus de fournir un support de sécurité et des mises à jour logicielles permettant d’identifier les vulnérabilités. Ceci pendant une « période raisonnable » après la mise sur le marché d’un nouvel appareil.
Les étapes à venir
La prochaine étape sera l’adoption de ce règlement par les instances européennes. Après quoi, les fabricants auront deux ans pour s’adapter aux nouvelles exigences.
Eric Bonnet
Avocat
Directeur de la communication juridique