Cyberrésilience : le Conseil de l’UE envisage une plateforme paneuropéenne pour prévenir les vulnérabilités
La gestion des vulnérabilités informatiques exploitées par les hackers reste le point sensible d’une nouvelle loi sur la cybersécurité, avec l’idée d’une plateforme de signalement paneuropéenne entrant en scène.
Gérer les points de vulnérabilité des systèmes numériques que les pirates exploitent pour lancer leurs cyberattaques reste le point sensible d’une nouvelle loi européenne sur la cybersécurité. Une proposition de plateforme de signalement paneuropéenne vient d’entrer dans les débats.
La législation sur la cyberrésilience (Cyber Resilience Act) est une proposition législative introduisant des exigences de sécurité auxquelles les fabricants doivent se conformer avant de commercialiser des appareils connectés sur le marché de l’UE.
Le point discorde le plus important se situe au niveau des obligations de notification des vulnérabilités exploitées. De nombreux changements significatifs sont en discussion comme le montre une mise à jour du texte débattu au Conseil datée du 15 juin et consultée par EURACTIV.
Le document était au centre des discussions lors d’une réunion du groupe « Questions cyber », un organe technique du Conseil des ministres de l’UE, mercredi (21 juin). Il est devenu clair qu’aucune position commune ne pourrait être atteinte sur le dossier avant la fin de la présidence suédoise.
Le relais devrait donc être passé à l’Espagne le mois prochain. La date provisoire de finalisation du texte entre représentants permanents, membres du Conseil, étant provisoirement fixée au 17 juillet.
Traitement des vulnérabilités
Pour la première fois, le projet de loi de l’UE exigerait des fabricants qu’ils signalent non seulement les incidents de cybersécurité qu’ils relèvent, mais aussi les vulnérabilités activement exploitables, c’est-à-dire les failles de sécurité qui n’ont pas encore été corrigées par un patch de mises à jour.
Le concept de vulnérabilités activement exploitables a été aligné sur la définition de la directive sur la sécurité des réseaux et des systèmes d’information (SRI2) et élargie pour couvrir à la fois les tentatives et les réussites d’atteintes à la sécurité.
En outre, le texte de compromis note que les obligations de traitement des vulnérabilités « s’appliquent aux produits comportant des éléments numériques dans leur intégralité, y compris les composants intégrés ».
Les fabricants doivent indiquer à quel moment ils assureront le traitement des vulnérabilités, ce qui peut aussi toucher à l’emballage du produit. Les fabricants doivent divulguer publiquement les informations sur les vulnérabilités qu’ils ont corrigées, à moins que les risques de sécurité ne l’emportent sur les avantages.
Obligations de notification
Les obligations de notification des fabricants constituent la véritable pomme de discorde au sein du Conseil, les pays de l’UE ayant transféré le traitement de ces informations sensibles des mains de l’ENISA, l’agence européenne de cybersécurité, à celles des centres nationaux de réponse aux incidents de sécurité informatique (Computer Emergency Response Teams, CSIRT).
Les fabricants devront envoyer une alerte dans les 24 heures suivant la découverte d’une vulnérabilité activement exploitée, puis une mise à jour dans les trois jours comportant les spécifications techniques de déploiement de cette vulnérabilité, ainsi que l’état de complétude de la résolution de la faille.
Toutes les notifications doivent être envoyées via le point terminal de notification électronique du pays de l’UE où se trouve l’établissement principal de l’entreprise, défini comme « le lieu où les décisions relatives à la cybersécurité de ses produits comportant des éléments numériques sont prises de manière prédominante ».
Tous les points terminaux nationaux de notification doivent alimenter une plateforme de notification unique établie et gérée par l’ENISA, les CSIRT étant impliqués dans la mise en place de la sécurité et des dispositions opérationnelles de la plateforme.
Le premier CSIRT qui reçoit la notification devra informer tous ses pairs concernés par la faille. Dans certaines circonstances exceptionnelles, le partage d’information pourrait être retardé pour des raisons justifiées de cybersécurité.
Une disposition stipulant que les obligations du règlement ne devraient pas entraîner la divulgation d’informations contraires aux intérêts de sécurité nationale des pays membres de l’UE a été supprimée.
Catégories de produits spéciaux
Comme l’a précédemment rapporté EURACTIV, le Conseil de l’UE a introduit une nouvelle annexe listant les produits hautement critiques, réduisant le pouvoir discrétionnaire de la Commission européenne, qui sera cependant toujours en mesure d’ajouter ou de supprimer des catégories de produits.
L’idée est que l’organe exécutif de l’UE pourrait obliger, via des actes délégués, des catégories de produits à obtenir une certification européenne de cybersécurité pour démontrer leur conformité avec les règles européennes.
Les États membres ont inclus des conditions stipulant que pour que le certificat devienne obligatoire, il doit déjà être en place, et la Commission doit réaliser une étude d’impact afin d’analyser son effet sur la disponibilité des produits au sein du marché intérieur.
« L’évaluation de l’impact potentiel sur le marché de la certification obligatoire en négociation devrait prendre en compte à la fois l’offre et la demande, y compris la question de savoir si la demande est suffisante », indique le texte.
Des catégories spéciales de produits sont également répertoriées en classes I et II. En ce qui concerne les produits hautement critiques, la Commission est chargée de définir des spécifications communes et des procédures d’évaluation de la conformité.
Les circuits intégrés à application spécifique et les réseaux de portes programmables ont été déplacés de la classe II à la classe I. Les logiciels d’authentification tels que les gestionnaires de mots de passe ont été ajoutés à la classe II.
Exigences essentielles
La législation sur la cyberrésilience est destinée à introduire des exigences minimales pour tous les produits connectés. Le nouveau texte précise que ces exigences minimales, y compris la gestion des vulnérabilités, s’appliquent à chaque produit mis sur le marché.
La responsabilité de se conformer à ces exigences minimales incombe à tout opérateur économique qui apporte des modifications substantielles au produit, lesquelles peuvent également résulter de mises à jour logicielles, qu’elles soient distinctes ou combinées à une mise à jour de sécurité.
Avant de mettre un produit sur le marché, les fabricants doivent procéder à une analyse d’impact pour déterminer si une vulnérabilité peut avoir un impact systémique sur les consommateurs et les organisations.
Pouvoirs délégués et entrée en application
Le pouvoir de la Commission d’adopter des actes délégués expirera cinq ans après l’entrée en vigueur du règlement. Toutefois, il sera automatiquement prolongé, à moins que le Conseil de l’UE ou le Parlement ne s’y oppose. L’exécutif européen devra également fournir un rapport d’étape neuf mois avant la fin de la période de cinq ans.
En ce qui concerne l’entrée en application du règlement a été reportée de deux à trois ans après son entrée en vigueur.
