EXCLU : la Commission européenne va introduire des exigences de cybersécurité pour les appareils connectés
La proposition de loi sur la cyberrésilience qui sera présentée la semaine prochaine imposera des règles de cybersécurité communes pour tous les appareils connectés ainsi que des procédures d’évaluation de la conformité plus strictes pour les produits critiques.
La proposition de loi sur la cyberrésilience (Cyber Resilience Act) qui sera présentée la semaine prochaine imposera des règles de cybersécurité communes pour tous les appareils connectés ainsi que des procédures d’évaluation de la conformité plus strictes pour les produits critiques. EURACTIV a pu voir le projet en exclusivité.
Cette proposition a pour objectif de remédier aux nombreuses failles dans le secteur en plein essor de l’Internet des objets (IdO), où même le piratage d’un seul appareil, le « maillon faible », peut avoir des répercussions importantes sur l’ensemble de l’organisation touchée ou de sa chaîne d’approvisionnement.
En outre, les utilisateurs ne disposent pas d’informations suffisantes sur les caractéristiques de cybersécurité d’un appareil connecté pour faire un choix éclairé lors l’achat.
Pour répondre à ces problèmes, la Commission européenne va bientôt présenter la première législation introduisant un cadre légal pour tous les appareils connectés au monde. Cette dernière garantirait la cybersécurité de ces produits tout au long de leur cycle de vie.
Champ d’application
Le règlement couvre les « produits comportant des éléments numériques », définis comme « tout produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels destinés à être mis sur le marché séparément ».
Les produits relevant d’une législation sectorielle, tels que les dispositifs médicaux, ont été exclus du champ d’application du règlement.
Exigences
Les fabricants de produits de l’IdO devraient se conformer aux exigences fondamentales en matière de conception, de développement et de production avant le lancement de ce dernier sur le marché. Ensuite, ils devraient continuer à surveiller et à corriger les failles pendant tout le cycle de vie du produit au moyen de mises à jour automatiques et gratuites.
« Des obligations seraient imposées aux opérateurs économiques, des fabricants aux distributeurs et importateurs, en ce qui concerne la mise sur le marché de produits comportant des éléments numériques, en fonction de leur rôle et de leurs responsabilités dans la chaîne d’approvisionnement », peut-on lire dans le projet de loi.
La liste des exigences fondamentales comprend un niveau « approprié » de cybersécurité, l’interdiction de lancer sur le marché des produits présentant une faille avérée, une configuration par défaut en matière de sécurité, la protection contre les accès non autorisés, la limitation des surfaces d’attaque et la réduction de l’impact des incidents.
Les produits doivent garantir la confidentialité des données, notamment en recourant au cryptage, en protégeant leur intégrité et en ne traitant que les données strictement nécessaires à leur fonctionnement.
Les fabricants devront identifier les vulnérabilités du produit au moyen de tests réguliers et y remédier sans délai. À l’instar de la directive récemment révisée sur la sécurité des réseaux et de l’information (SRI2) – la Network and Information Security (NIS2) en anglais – la proposition de loi doit exiger des fabricants qu’ils signalent les incidents et les failles exploitées.
Catégories de risques
Au-delà de ces exigences fondamentales, la Commission a dressé la liste de plusieurs produits critiques qui sont considérés comme présentant un risque plus important. Les produits critiques sont divisés en deux « classes », la principale différence entre les deux classes étant le processus de conformité.
La classe I comprend les systèmes de gestion de l’identité, les navigateurs, les gestionnaires de mots de passe, les antivirus, les pare-feu, les réseaux privés virtuels (virtual private networks, VPN), la gestion de réseau, les systèmes, les cartes réseau (physical network interface ou network interface controller, NIC), les routeurs et les puces utilisés pour les unités indispensables, comme prévu par la SRI2.
En outre, cette catégorie couvre tous les systèmes d’exploitation, les microprocesseurs et l’IdO industriel non couverts par la classe II.
La catégorie à plus haut risque contient les appareils de bureau et mobiles, les systèmes d’exploitation virtuels, les émetteurs de certificats numériques, les microprocesseurs d’usage général, les lecteurs de cartes, les capteurs robotiques, les compteurs intelligents et tout l’IdO, les routeurs et les pare-feu à usage industriel, qui est considéré comme un « environnement sensible ».
Le texte habilite également la Commission à adopter une législation secondaire pour mettre à jour la liste des produits critiques relevant des classes I et II et pour rendre obligatoire la certification des produits considérés comme hautement critiques.
Évaluation de la conformité
Les fabricants seraient également tenus de réaliser des évaluations de conformité sur leurs produits via une procédure interne ou une évaluation similaire à celles de l’UE réalisée par des organismes notifiés, c’est-à-dire une tierce partie mise en place pour évaluer la conformité au règlement.
Dans le cas où le fabricant utilise des normes communes, reçoit une déclaration de conformité de l’UE ou un certificat dans le cadre d’un système européen de certification de cybersécurité, le produit est considéré conforme au règlement.
Les importateurs et les distributeurs seront tenus de vérifier la conformité du fabricant avec les procédures pertinentes et le marquage CE du dispositif.
Les fabricants de produits critiques de classe I et II devront suivre une procédure spécifique de mise en conformité. Pour les appareils de classe II, une expertise réalisée par une tierce partie est requise.
Gouvernance
Les autorités nationales compétentes devront suivre une liste d’exigences pour mettre en place des organismes notifiés qui assureront les évaluations par des tiers.
Les États membres devront également mettre en place des organismes de surveillance du marché qui pourraient être les autorités de cybersécurité établies en vertu de la directive SRI2.
Les autorités nationales pourraient effectuer des « balayages », c’est-à-dire des contrôles simultanés et coordonnés de certains dispositifs afin de vérifier leur conformité. En cas de non-conformité répétée, les autorités nationales peuvent interdire le produit sur le marché européen.
Sanctions et mise en œuvre
Les sanctions pour non-conformité aux exigences fondamentales peuvent atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel de l’entreprise, le montant le plus élevé étant celui retenu.
Le règlement proposé deviendrait applicable 24 mois après son entrée en vigueur, à l’exception notable de l’obligation de déclaration imposée aux fabricants, qui s’appliquerait à partir de 12 mois après l’entrée en vigueur de la législation.
