Proposition de loi de la Commission européenne visant à réguler la fabrication et les services liés aux objets connectés, le Cyber Resilience Act doit renforcer l’environnement législatif de cybersécurité en Europe.
Qu’est-ce que le Cyber Resilience Act ?
Jeudi 15 septembre 2022, la Commission européenne a présenté une proposition de loi sur la cyber-résilience (Cyber Resilience Act, ou CRA). Son objectif est d’établir des règles de sécurité communes et des procédures strictes d’évaluation de conformité pour l’ensemble des « produits comportant des éléments numériques » introduits dans le marché intérieur de l’Union européenne.
S’inscrivant dans le cadre de la stratégie de cybersécurité de l’Union européenne, la loi sur la cyber-résilience est la pierre angulaire d’un nouveau standard de cybersécurité pour les appareils connectés. Elle vise à responsabiliser les fabricants sur la cybersécurité de leurs produits et à informer les clients et les utilisateurs sur les normes de cybersécurité des objets qu’ils achètent et utilisent.
Le texte doit être examiné prochainement en projet de lecture au Parlement européen.
Une augmentation des risques industriels liés aux objets connectés
À travers cette loi, la Commission entend agir plus fermement sur la sécurité des produits connectés et prémunir les consommateurs contre la multiplication des défaillances des IoT (Internet des Objets). En effet, la Commission estime que « si tout est connecté, tout peut être piraté ».
12 milliards de points d’entrée potentielle
Ordinateurs, téléviseurs, machines à café, jouets… 12 milliards d’objets dits « connectés » sont en circulation aujourd’hui, et le marché mondial continue de croître à toute vitesse (+22 % en 2021). Les entreprises ne sont pas en reste et intègrent nombre de ces objets, comme des capteurs connectés.
Or, « ces centaines de millions de produits connectés sont des points d’entrée potentielle pour une cyberattaque », estime Thierry Breton, commissaire européen chargé du marché intérieur, avant de souligner : « et pourtant, aujourd’hui, la plupart des produits et des logiciels ne sont soumis à aucune obligation en matière de cybersécurité ».
À titre d’exemple, l’association Test-Achats a effectué des tests sur 16 objets connectés en 2021 (babyphones, téléviseurs et aspirateurs intelligents…). Dix d’entre eux présentaient de graves failles de sécurité. Les assistants vocaux comme Amazon Alexa et les caméras de surveillance, notamment celles de l’entreprise chinoise Hikvision très utilisées en France, sont également vulnérables aux attaques informatiques.
Pour les entreprises, le risque est majeur. 69 % des décideurs informatiques français interrogés par le rapport « The Connected Enterprise : IoT Security Report 2021 » de Palo Alto Network déclaraient en 2020 avoir constaté une augmentation du nombre d’appareils connectés au réseau d’entreprise. Le déploiement de capteurs connectés, notamment, augmente la surface d’attaque des entreprises et constitue un point d’entrée privilégié pour les cybercriminels. Un rapport de Nozomi Networks soulignait ainsi une intensification des botnets IoT au premier semestre 2022.
Alors que le coût annuel de la cybercriminalité a été estimé à 5,5 milliards d’euros en 2021, le Cyber Resilience Act vise à réduire les risques en introduisant la notion de « cybersécurité par défaut » (« security by design ») et à « protéger l’économie européenne et notre sécurité collective » selon Thierry Breton.
European Cyber Resilience Act, entre exigences et sanctions pour les entreprises
Le texte initial publié par la Commission européenne dévoile une première série d’obligations s’appliquant à l’ensemble des produits « comportant des éléments numériques ». Il détermine ensuite 10 % de « produits critiques », c’est-à-dire ceux ayant un rôle central dans la sécurité des réseaux ou présentant des failles de sécurité pour un grand nombre d’utilisateurs.
Les catégories de produits dits « critiques »
- Systèmes d’exploitation de tous types ;
- Hyperviseurs ;
- IoT industriel ;
- Compteurs connectés ;
- Contrôleurs robotiques ;
- Infrastructures à clé publique ;
- Smart cards ;
- HSM.
Qui n’est pas concerné ?
Les produits connectés du monde aéronautique, médical et automobile ne sont pas concernés car ils sont déjà protégés par d’autres réglementations, tout comme les services et logiciels en ligne qui ne sont pas liés à un appareil physique.
Le projet de loi introduit plusieurs normes de sécurité, avec deux mesures principales :
- La sécurité des logiciels et matériels devant être prise en compte dès la conception du produit – la mesure concerne la notion de « security by design » .
- Aucune faille de sécurité ne devra être connue lors de la livraison d’un produit.
Le texte ajoute également qu’une documentation précise sur la sécurité, les risques du produit, le support technique ainsi que l’installation des mises à jour devra être fournie avec le produit, dans le but d’améliorer l’information envers les consommateurs et les utilisateurs.
Enfin, l’entreprise devra produire des correctifs de sécurité et des mises à jour pendant au moins 5 ans après la sortie du produit.
La Commission européenne indique que des exigences supplémentaires s’appliqueront aux produits les plus critiques, sans toutefois les détailler. Elle ne liste pas non plus les mesures nécessaires aux entreprises pour atteindre ces normes de sécurité, les laissant libres de la méthode à appliquer. Elle explique cependant que les fabricants auront l’obligation de démontrer la conformité de leurs produits, par une auto-évaluation dans 90 % des cas.
Pour les produits les plus critiques, cette évaluation devra être effectuée par un tiers. De plus, les fabricants seront tenus de signaler à l’Agence de l’Union européenne pour la cybersécurité (ENISA), sous un délai de 24h, les nouvelles vulnérabilités découvertes au sein des produits considérés comme critiques.
En cas de non-respect de ces nouvelles règles, les entreprises s’exposent à de lourdes amendes. Les États membres de l’Union européenne auront à charge de fixer le montant des amendes, avec trois plafonds de référence :
- Jusqu’à 15 millions d’euros d’amende ou 2,5 % du chiffre d’affaires mondial sur le dernier exercice fiscal pour non-conformité avec des exigences de sécurité ;
- Jusqu’à 10 millions d’euros d’amende ou 2 % du chiffre d’affaires pour non-conformité avec d’autres exigences ;
- Jusqu’à 5 millions d’euros d’amende ou 1 % du chiffre d’affaires en cas de fourniture d’informations incorrectes, incomplètes ou trompeuses aux autorités compétentes.
Le non-respect des obligations pourrait enfin entraîner l’interdiction de vente des produits concernés au sein du marché unique européen. À l’inverse, les fabricants pourront apposer à leurs produits conformes le marquage CE, référent européen de confiance garantissant la conformité des produits aux exigences des lois européennes, ici le Cyber Resilience Act, et leur autorisation de circulation sur le marché intérieur.
Vers de nouveaux principes mondiaux de confiance
Le texte présenté par la Commission européenne doit maintenant poursuivre son parcours législatif, et être examiné en première lecture par le Parlement européen. Il devra ensuite recevoir l’approbation du Conseil de l’Union européenne, puis les trois institutions devront s’accorder sur un texte final.
La proposition de la Commission n’est donc que provisoire, et les détails du projet de loi pourraient être modifiés. Une fois finalisé, le règlement sera directement applicable dans les États membres sans nécessité de transposition dans le droit national. Les entreprises et les États membres disposeront d’un délai de deux ans pour s’adapter aux nouvelles exigences, à l’exception de l’obligation d’information des cyberincidents à l’ENISA, qui entrera en vigueur 12 mois après la mise en œuvre du Cyber Resilience Act.
Si les fabricants s’inquiètent du retard de lancement de leurs produits à cause des examens de sécurité, la Commission européenne estime que ces nouvelles normes de sécurité pourraient faire diminuer fortement le coût des cyberincidents. En plus d’améliorer la sécurité des produits et la transparence envers les consommateurs et les utilisateurs, le Cyber Resilience Act permettra également de renforcer l’environnement normatif de cybersécurité européen et d’assurer une meilleure protection des droits fondamentaux sur le respect de la vie privée.
Comme pour le RGPD (Règlement général sur la protection des données), l’Europe espère que l’impact du Cyber Resilience Act dépassera ses frontières – en s’appliquant notamment à toutes les entreprises européennes commerçant hors du continent – pour influer sur les exigences réglementaires partout dans le monde.
Notre avis sur le Cyber Resilience Act de 2022
« Responsabiliser les fabricants d’objets connectés sur la cybersécurité de leurs produits est essentiel. On retrouve en effet de plus en plus d’IoT au sein des environnements bureautiques (IT) ou industriels (OT), et il est indispensable pour les industriels de contenir la surface d’attaque. Les fabricants vont devoir être accompagnés dans leur démarche, car la tâche est immense. On ne parle pas uniquement de développer un produit en suivant les bonnes pratiques du « security by design », mais également de démontrer la conformité de ce produit au travers d’une évaluation. Les fabricants doivent anticiper la mise en œuvre de cette démarche afin de minimiser l’impact de cette réglementation sur les délais de mise sur le marché de leurs produits. »