La Commission vient de présenter un texte, qui doit encore être approuvé par le Parlement et le Conseil, qui prévoit que seuls les dispositifs IoT conformes à certaines règles pourront être mis sur le marché. Les logiciels fournis en mode service (cloud) ne sont pas concernés. Pour les produits les moins critiques, les fabricants s'autoévalueront et pour les plus critiques, un organisme tiers s'occupera de la procédure.
Thierry Breton, commissaire au marché intérieur, et Margaritis Schinas, vice-président chargé de la promotion de notre mode de vie européen, ont présenté ce 15 septembre le "Cyber Resilience Act". Cette proposition européenne vise à protéger les consommateurs et les entreprises des objets connectés non sécurisés grâce à de nouvelles normes de mise sur le marché unique. Les fabricants seront ainsi tenus de les respecter lors de la conception de leurs produits (hardware et software) ainsi que sur l'ensemble de leur cycle de vie.
Comme l'a expliqué Thierry Breton , les appareils connectés ne cessent de se multiplier. Ils devraient être d'environ "75 milliards d'ici à 2025" à l'échelle mondiale. Or, "les ordinateurs, les téléphones, les appareils ménagers, les dispositifs d'assistance virtuels, les voitures, les jouets... chacun de ces centaines de millions de produits connectés peut servir de porte d'entrée à une cyberattaque".
Pourtant et malgré ce risque, il n'existe pas encore à ce jour de régime général obligeant les fabricants à s'assurer que leurs produits sont robustes en matière de sécurité informatique. D'où l'idée d'instaurer une obligation de "security by design, telle que l'on retrouve dans le domaine du cloud computing, et selon laquelle l'aspect de la cybersécurité doit être pris en compte dès la conception même du produit. "En introduisant la cybersécurité dès la conception (by-design), l'acte législatif sur la cyber-résilience contribuera à protéger l'économie européenne et la sécurité de tous." a déclaré Thierry Breton, commissaire au marché intérieur
En matière de sécurité, la résistance de l'Europe est déterminée par celle de son maillon le plus faible: il peut s'agir d'un État membre vulnérable ou d'un produit non sécurisé dans la chaîne d'approvisionnement. Les ordinateurs, les téléphones, les appareils ménagers, les dispositifs d'assistance virtuels, les voitures, les jouets... chacun de ces centaines de millions de produits connectés peut servir de porte d'entrée à une cyberattaque. Thierry Breton
Hardware et software concernés, en fonction de leurs criticités
Dans les détails, sont concernés les objets sans fil et filaires qui sont connectés directement ou indirectement à un autre appareil ou réseau et les logiciels.
La Commission a défini des classes de produits, y compris logiciels en mode services, en fonction de leurs criticités, ceux jouant par exemple un rôle important dans la sécurité des réseaux. Sont ainsi concernés, les anti virus, les gestionnaires de mot de passe et les VPN. Une autre classe de produits concerne les systèmes d'exploitations et logiciels nécessaires à l'exploitation des services cloud (hyperviseurs).
En revanche, le texte ne s'applique pas au logiciel qui n'est pas directement rattaché à un objet – ainsi qu'aux produits présents dans certains secteurs, tels que les dispositifs médicaux, l'aviation et les voitures, pour lesquels il existe déjà des règles.
"Pour 90% des produits, il sera possible pour le producteur de faire lui-même la déclaration de conformité, détaille le commissaire européen. Nous avons cherché évidemment à alléguer [les formalités]."
En revanche, il y a "une trentaine de produits beaucoup plus critique en termes de risques cyber", tels que les routeurs, les systèmes d'exploitation, pour lesquels l'examen de conformité devra être effectué par un tiers.
D’autres mesures, comme le déploiement de chiffrement pour protéger la confidentialité des données, pourront s’appliquer selon l’évaluation des risques réalisée par le constructeur ou par un tiers.
Une fois la conformité du produit démontrée, les fabricants pourront apposer le marquage CE sur leurs produits. Ce dernier indiquera donc qu'ils sont conformes aux exigences du Cyber Resilience Act et qu'ils peuvent librement circuler sur le marché intérieur.
Assurer la mise en œuvre des dispositifs de sécurité pendant 5 ans.
Les fabricants seront également dans l'obligation de délivrer une information plus précise et des instructions plus claires aux consommateurs, des informations claires concernant leur sécurité, le support technique proposé ou l’installation de mises à jour de sécurité.
Le Cyber Resilience Act prévoit également certaines dispositions visant à s’assurer que les constructeurs assurent la mise en œuvre de correctifs de sécurité pendant au moins cinq ans, ainsi que la mise en place de procédures de gestion de vulnérabilités conformes aux directives de la Commission européenne.
Des sanctions à la clé en cas de non-conformité
Les Etats membres devront désigner des autorités de surveillance chargées de veiller au respect des obligations prescrites. En cas de non-conformité, elles pourront exiger des opérateurs qu'ils mettent fin à cette non-conformité et éliminent le risque, qu'ils interdisent ou restreignent la mise à disposition d'un produit sur le marché, voire ordonnent le retrait ou le rappel du produit. Elles auront également le pouvoir d'infliger des sanctions aux entreprises contrevenantes. Les fabricants de produits classés dans la catégorie "critique" seront tenus de signaler dans les 24h à l'ENISA (agence de sécurité européenne) toutes les nouvelles vulnérabilités découvertes pouvant être exploitées par des cybercriminels.
Ainsi, le non-respect des normes de sécurité peut engendrer une amende allant jusqu'à 15 millions d'euros ou 2,5% du chiffre d'affaires annuel mondial total. La fourniture d'informations incorrectes, incomplètes ou trompeuses est passible d'une amende pouvant aller jusqu'à 5 millions d'euros, si le contrevenant est une entreprise, jusqu'à 1 % de son chiffre d'affaires annuel mondial total.
Avant de devenir définitif, le texte devra être approuvé par le Parlement européen et le Conseil. Une fois entré en vigueur, les opérateurs économiques et les Etats membres disposeront de deux ans pour s'adapter aux nouvelles exigences.
En revanche, les fabricants n'auront qu'un an pour respecter l'obligation de déclaration en ce qui concerne les vulnérabilités activement exploitées et les incidents.
Sécuriser toute la supply chain.
Toutes les 11 secondes dans le monde, une organisation est victime d'une attaque par rançongiciel et on estimait, en 2021, que le coût annuel de la cybercriminalité représentait 5 500 milliards d'euros à l'échelle de la planète (Rapport du Centre commun de recherche de 2020 intitulé «Cybersecurity – Our Digital Anchor, an European perspective»). Il est donc plus important que jamais d'assurer un niveau élevé de cybersécurité et de réduire les vulnérabilités des produits numériques — qui constituent l'un des principaux vecteurs des attaques.
Alors que les produits intelligents et connectés se multiplient, un incident de cybersécurité touchant un produit peut avoir des répercussions sur l'ensemble de la chaîne d'approvisionnement, ce qui peut entraîner de graves perturbations des activités économiques et sociales dans le marché intérieur, compromettre la sécurité, ou même représenter un danger de mort.