Cyberrésilience : le Conseil de l’UE propose des modifications à la classification des produits critiques

La présidence suédoise du Conseil de l’UE a partagé un nouveau texte de compromis comportant d’importantes modifications sur la classification des produits critiques et hautement critiques dans le cadre de la loi sur la cyberrésilience (Cyber Resilience Act).

Le projet de loi vise à établir des exigences de base en matière de cybersécurité pour les appareils connectés, par exemple pour les produits de l’Internet des objets (IdO) qui se connectent et échangent des données avec d’autres appareils mais qui ne peuvent être mis sur le marché avec une vulnérabilité exploitable connue.

Alors que pour la plupart des appareils connectés, les fabricants seront en mesure d’évaluer eux-mêmes la conformité à ces exigences, pour certains produits spécifiques jugés « critiques » ou « hautement critiques », un audit externe sera nécessaire. Au cœur du dernier texte de compromis, qu’EURACTIV a pu consulter : la manière dont les produits seraient qualifiés pour ces deux catégories essentielles et lesquels le seraient.

Le compromis a été partagé vendredi dernier (10 février) et sera discuté mercredi au groupe horizontal « Questions liées au cyberespace » (Cyber), un organe technique chargé d’effectuer le travail préparatoire en vue de l’approbation au niveau ministériel.

Produits critiques

Le texte de compromis prévoit que certains produits seront considérés comme « critiques » s’ils remplissent une fonction de sécurité essentielle, comme l’authentification, la prévention des intrusions ou la protection des réseaux.

C’est notamment le cas des logiciels de détection des logiciels malveillants, des systèmes de surveillance du trafic réseau pour le contrôle du débit et des flux, des systèmes de gestion des informations et des événements de sécurité, des systèmes de déploiement des mises à jour et des correctifs de sécurité, des pare-feu, des certificats numériques et des appareils domestiques intelligents dotés de fonctionnalités de sécurité tels que les systèmes d’alarme.

Un autre sous-groupe de produits de l’Internet des objets est qualifié de « critique » s’il joue un rôle central dans la gestion d’un système plus large ou s’il a le potentiel de nuire à plusieurs autres produits. C’est notamment le cas de la gestion du réseau et le contrôle de la configuration.

Ce deuxième critère concerne les navigateurs autonomes et intégrés, la gestion des ressources du réseau, y compris la technologie de mise en réseau conçue par logiciel, les systèmes de gestion de la configuration des applications pour la configuration centralisée des systèmes, les logiciels d’accès à distance, les interfaces de réseau physiques et virtuelles, les routeurs, les micro-processeurs, les micro-contrôleurs, les systèmes d’exploitation et les produits industriels et systèmes de contrôle non compris dans la catégorie « hautement critique ».

Produits hautement critiques

Des produits seraient considérés comme « hautement critique » s’ils répondent aux deux critères mentionnés ci-dessus. Ces produits doivent en effet remplir une fonction de sécurité majeure et occuper une place centrale au sein d’un environnement de l’IdO plus large.

Cette catégorie de produits comprend les systèmes de gestion d’identité, les outils d’authentification, les réseaux privés virtuels (VPN), les systèmes de gestion de réseau pour la configuration, la surveillance et la mise à jour des dispositifs de réseau, les hyperviseurs, les microprocesseurs destinés aux éléments sécurisés, les dispositifs reposant sur des microprocesseurs inviolables, les modèles de sécurité matérielle, les crypto-processeurs sécurisés et les lecteurs de cartes à puce.

Les pare-feu à usage industriel seront classés dans la catégorie « hautement critique » s’ils ont à la fois une fonction liée à la cybersécurité et sont utilisés dans des environnements sensibles. C’est notamment le cas des installations de contrôle industriel des entités désignées comme « essentielles » par la directive sur la sécurité des réseaux et des systèmes d’information (SRI2) récemment révisée.

Un dernier groupe de produits serait qualifié de « hautement critique » s’il remplit la double condition d’être employé dans un environnement sensible et de jouer un rôle central dans la gestion d’un système plus large. Les circuits intégrés spécifiques à une application, les réseaux de portes programmables sur site, les systèmes d’automatisation et de contrôle industriels, les dispositifs de l’IoT industriels et les compteurs connectés font partie de ce groupe de produits.

La liste des produits critiques et hautement critiques a été incluse dans l’annexe du projet de loi, dans la mesure où les annexes peuvent être plus facilement mises à jour que le corps du texte. La Commission européenne devrait tenir compte de ces critères au moment de modifier les produits figurant dans l’annexe.

Système de certification

Afin de prouver le respect de certaines des exigences essentielles du règlement, la Commission pourrait obliger certaines catégories de produits hautement critiques à obtenir un certificat de cybersécurité de l’UE d’un niveau « substantiel » ou « élevé », tel que défini dans la loi sur la cybersécurité.

Pour déterminer quelles catégories de produits hautement critiques devraient faire l’objet d’une demande de certificat, l’exécutif européen devra prendre en compte les critères mentionnés ci-dessus et déterminer si le produit pourrait entraîner une perturbation des « entités essentielles » identifiées dans le cadre de la directive SRI2 ou des chaînes d’approvisionnement critiques sur le marché de l’UE.

Déclaration simplifiée

La présidence suédoise du Conseil de l’UE a inclus un modèle de déclaration européenne de conformité simplifiée, indiquant l’URL où la déclaration complète sera accessible en ligne.

[Édité par Anne-Sophie Gayet]