Le Conseil de l’UE apporte des modifications à la législation sur la cybersécurité

Un nouveau texte du Conseil concernant la législation sur la cyberrésilience (Cyber Resilience Act) consulté par EURACTIV supprime la limite de cinq ans pour le cycle de vie des produits, clarifie le champ d’application du règlement et prévoit que les mises à jour automatiques de sécurité sont l’option par défaut des appareils connectés.

La proposition de règlement européen sur la cyberrésilience vise à introduire des exigences essentielles en matière de sécurité pour les appareils interconnectés via Internet dans le but d’envoyer et de recevoir des données, un ensemble également connu sous le nom d’Internet des objets (IdO).

La présidence suédoise a fait circuler un autre compromis sur la nouvelle législation concernant la cybersécurité discutée mercredi dernier (15 mars) au sein du groupe horizontal sur les Questions cyber (GHQC), un organe technique du Conseil des ministres de l’UE.

Durée de vie des produits

La proposition initiale imposait aux fabricants de produits d’évaluer systématiquement les risques de cybersécurité et de déployer des correctifs de sécurité pendant la durée de vie prévue d’un produit ou pendant cinq ans, la durée la plus courte étant celle qui serait retenue.

La limite de cinq ans a à présent été supprimée, ce qui signifie que les fabricants seront probablement tenus responsables pendant une période plus longue.

Les fabricants ne sont pas obligés d’indiquer la durée de vie prévue de leurs produits, ce qui veut dire que les consommateurs sauront quand s’attendre à des mises à jour de sécurité.

Champ d’application

Le nouveau texte du Conseil précise que les sites web qui ne prennent pas en charge la fonctionnalité des appareils connectés et des services cloud développés hors de la responsabilité du fabricant du produit ne relèvent pas du champ d’application du règlement.

Les services de stockage et de traitement des données à distance ne sont concernés que dans la mesure où ils sont nécessaires au fonctionnement du produit de l’Internet des objets, par exemple si un appareil doit accéder à une base de données développée par le fabricant pour fonctionner.

En d’autres termes, si les fabricants utilisent une application tierce pour le traitement des données, celle-ci n’entre pas dans le champ d’application de la législation, mais si la même entreprise développe le logiciel en question, alors le site web devra respecter les exigences du règlement en matière de cybersécurité.

Logiciels libres

Selon le nouveau texte, le règlement sur la cyberrésilience ne s’appliquerait qu’aux produits connectés lancés sur le marché de l’UE pour générer des revenus au-delà des coûts de maintenance, limitant ainsi le champ d’application des logiciels libres.

Fait notable, les conditions dans lesquelles le produit a été développé n’ont pas d’importance, une mesure qui semble destinée à garantir que les logiciels libres comme Android demeurent dans le champ d’application. En revanche, les produits fournis par les autorités publiques moyennant une redevance couvrant seulement les coûts opérationnels sont exclus du champ d’application.

Exigences en matière de sécurité

Le texte a été modifié pour que les mises à jour de sécurité soient automatiquement installées par défaut au moyen d’« un mécanisme de non-participation clair et facile à utiliser » doté de la possibilité de les différer temporairement.

Vulnérabilités et notification

Dans le document, il est souligné que le rôle de l’Agence de l’Union européenne pour la cybersécurité (ENISA) fait toujours l’objet de discussions. Dans la proposition initiale, l’agence était chargée de collecter toutes les vulnérabilités activement exploitées, ce qui représentait une charge de travail considérable, dont beaucoup craignaient qu’elle ne constitue un « point de défaillance unique ».

Les inquiétudes de l’industrie concernant d’éventuelles fuites de ces informations sensibles semblent avoir été prises en compte. Dans un précédent compromis, la notification des vulnérabilités avait été transférée aux centres nationaux de réponse aux incidents de sécurité informatique (CSIRT).

Pour promouvoir la collaboration dans le traitement des vulnérabilités, si un tiers informe un CSIRT d’une vulnérabilité activement exploitée pour un produit de l’IdO, le CSIRT devrait immédiatement informer le fabricant concerné.

En outre, si les fabricants développent un correctif de sécurité pour remédier à la vulnérabilité d’un composant de leur produit, ils devraient partager le code correspondant avec l’entité responsable du composant.

Une note au texte indique que le Conseil prévoit d’introduire des exigences spécifiques relatives aux vulnérabilités activement exploitées dans les futures versions du texte.

Modifications substantielles

Le compromis indique que, même si l’appareil connecté était disponible sur le marché avant l’entrée en vigueur du règlement, il doit satisfaire aux nouvelles exigences de cybersécurité dans les cas où il a été modifié de manière substantielle.

Les correctifs de sécurité destinés à réduire le niveau de risque d’un produit de l’IDO, par exemple en remédiant à une vulnérabilité connue, ne doivent pas être considérés comme des modifications substantielles.

Il n’en va pas de même pour les mises à jour qui modifient les fonctions prévues du produit, par exemple l’ajout d’une nouvelle application, car la nouvelle fonctionnalité élargit la surface d’attaque pour les potentiels pirates informatiques.

Composants tiers

Un nouveau paragraphe introduit des obligations de devoir de vigilance pour les fabricants qui intègrent des composants tiers dans leurs produits.

En d’autres termes, les fabricants devront vérifier que le composant satisfait aux exigences de cybersécurité et qu’il ne présente aucune vulnérabilité connue dans les bases de données accessibles au public.

[Édité par Anne-Sophie Gayet]