protéger la cybersécurité des produits numériques

La loi sur la cyber-résilience des produits et composants numériques a été largement approuvée par la Commission du Parlement européen et par le Coreper. Les bénéfices attendus et les problèmes à résoudre.

La Loi sur la cyber-résilience a franchi une première étape importante : la Commission de l’industrie, de la recherche et de l’énergie de Parlement européen a approuvé le projet de loi sur la cyber-résilience. Ayant obtenu une large adhésion quasi bipartite (61 voix pour, 1 contre et 10 abstentions), les députés de la Commission ont également voté l’ouverture de négociations avec le Conseil européen, également en l’occurrence à une très large majorité, pour aboutir à une décision partagée et approuvée par l’ensemble de l’Assemblée lors d’une prochaine session plénière.

Les représentants des États membres (Coreper) sont également parvenus récemment à une position commune sur la législation proposée concernant les exigences horizontales en matière de cybersécurité pour les produits contenant des éléments numériques. L’accord trouvé au sein du Conseil confirme la volonté européenne commune d’approuver dans les meilleurs délais une loi cruciale pour la protection des produits numériques et, surtout, des consommateurs.

Caméras vidéo connectées, réfrigérateurs intelligents, téléviseurs mais aussi assistants vocaux ou jouets ne sont que quelques-uns des produits concernés, dont le marché a un impact significatif tant en termes de revenus que de consommateurs. Le seul secteur de la maison intelligente d’ici 2030, il vaudra près de 450 milliards de dollars.

Emporter

Ce que la loi sur la cyber-résilience exige

Le Cyber ​​​​Resilience Act vise à garantir que les produits dotés de fonctionnalités et de composants numériques sont sûrs à utiliser, résistants aux cybermenaces et fournissent des informations suffisantes sur leurs propriétés de sécurité.

Pourquoi il est important d’obtenir l’approbation de cette loi le plus tôt possible est facile à dire. Si l’on considère les appareils IoT, leur nombre passera de 14,6 milliards en 2022 à 30,2 milliards d’ici 2030. De plus, le nombre d’appareils connectés aux réseaux IP sera plus de trois fois supérieur à la population mondiale d’ici 2023, rappelle-t-il. Parlement européen.

Les failles de cybersécurité des produits connectés s’accompagnent d’une lourde facture. La Commission européenne, dans le rapport “Cybersecurity, our Digital Anchor”, a souligné comment les attaques de ransomware affectent les organisations et les entreprises toutes les 11 secondes partout dans le monde. On prévoit que d’ici 2031, il y aura une nouvelle attaque contre un consommateur ou une entreprise toutes les deux secondes, ce qui coûtera aux victimes environ 251 milliards d’euros par an. De plus, 10 téraoctets de données sont volés chaque mois, selon le dernier rapport de l’Agence de l’Union européenne pour la cybersécurité (ENISA) sur le paysage des menaces dans l’UE.

Par conséquent, il est nécessaire de disposer d’une mesure qui puisse garantir que les produits dotés de caractéristiques numériques, par exemple les téléphones ou les jouets, sont sûrs à utiliser, résistants aux cybermenaces et fournissent des informations suffisantes sur leurs propriétés de sécurité.

“Nous vivons une urgence en matière de cybersécurité, qui a explosé ces dernières années”, explique Nicola Danti, député et rapporteur du Cyber ​​Resilience Act pour le Parlement européen. «Nous savons que le coût de la cybercriminalité est d’environ 5,5 billions d’euros. Il faut donc arriver, dans les trois prochaines années où le Cyber ​​Resilience Act entrera pleinement en vigueur, à compter sur des produits plus sécurisés et résilients informatiques, et d’autre part il faudra disposer d’un système de gestion des urgences plus efficace” .

En particulier, Danti souligne la valeur de la mise à jour de sécurité plus large. Cela signifie que les consommateurs pourront voir spécifié dans les caractéristiques du produit pendant combien de temps le fabricant garantit les mises à jour des logiciels de cybersécurité.

Les forces de la loi

Quels sont les éléments de base du Cyber ​​Resilience Act pour assurer la sécurité des produits et des consommateurs ?

Comme l’a précisé le Parlement européen lui-même, le projet de loi entend fixer des définitions plus précises, des délais réalisables et une répartition plus équitable des responsabilités. Les produits seront placés dans différentes listes en fonction de leur criticité et du niveau de risque qu’ils présentent en termes de cybersécurité. Entre autres choses, les députés ont suggéré d’élargir la liste avec des produits tels que des logiciels pour les systèmes de gestion d’identité, des gestionnaires de mots de passe, des lecteurs biométriques, des assistants intelligents, des montres “intelligentes” et des caméras de sécurité privées. Les produits doivent également avoir des mises à jour de sécurité installées automatiquement et séparément des mises à jour fonctionnelles.

« Un premier élément clé concerne la question des mises à jour. Il faut pouvoir compter sur des produits non seulement commercialisés et garantis comme cyber résilients par le système de production, mais aussi dotés de mises à jour tout au long de leur cycle de vie – précise le rapporteur du projet de loi -. Un autre élément important concerne les mises à jour de sécurité, concernant la sécurité des produits : elles doivent pouvoir être installées automatiquement, sans devoir passer par un consentement personnel ».

De quoi va parler la Cyber ​​Resilience Act ? Il couvrira tous les produits connectés et connectables.

« La loi s’appliquera aux produits et aux composants : par exemple, les cartes mères, les microprocesseurs, les applications et les logiciels. Ensuite, il y a une liste de produits critiques, logiciels de gestion de mots de passe, cartes à puce, routeurs, modems qui ont des exigences plus strictes. Sur ces derniers, une évaluation par une tierce partie est nécessaire : en effet, les organismes certificateurs vérifieront que les normes requises dans ces produits sont pleinement respectées ».

Le cadre réglementaire dans lequel s’inscrit la future loi sur la cyber-résilience

Le Cyber ​​Resilience Act s’appliquera à tous les produits fabriqués dans l’UE, mais aussi ceux importés et vendus dans l’Union européenne. L’ambition de l’Union européenne avec ce règlement, après vérification appropriée avec d’autres partenaires mondiaux à commencer par les États-Unis, est de le voir étendu à une norme mondiale.

Au niveau réglementaire, compte tenu également de la loi sur la cybersécurité et de la loi sur l’intelligence artificielle, le CRA constituera une étape supplémentaire dans une stratégie européenne de sécurité informatique.

«À partir de NIS1 et NIS2, qui prennent en compte les infrastructures critiques et les systèmes dédiés, la loi sur la cybersécurité est conforme aux schémas de certification et donne un mandat permanent à l’ENISA, ainsi que davantage de ressources et de nouvelles tâches, assurant à l’Agence européenne une clé dans l’établissement et le maintien le cadre européen de certification de cybersécurité. Reste à savoir si ce rôle sera également confirmé par le Conseil européen dans le Cyber ​​Resilience Act ».

Cyber ​​Resilience Act, la question ouverte sur l’open source

La loi sur la cyber-résilience a reçu une large approbation, comme mentionné, de la part de la Commission de l’industrie du Parlement européen, mais a également été critiquée par les développeurs de logiciels open source. Ils demandent une modification du texte de loi pour sauvegarder l’avenir des logiciels open source. Selon eux, il ne fait actuellement aucune distinction, n’introduit aucune exemption pour les développeurs open source et stipule simplement que le logiciel doit être sécurisé.

«Nous nous sommes retrouvés face à une volonté claire de garantir le rôle de l’open source, que nous estimons essentiel, en termes de développement logiciel, de recherche et d’innovation. Cependant, tout en garantissant la protection, nous devions également établir les règles nécessaires à la cybersécurité des produits. C’est pourquoi nous avons établi une distinction claire entre ce qui est une activité de nature commerciale et ce qui ne l’est pas : ce dernier domaine inclut les activités de recherche. Lorsqu’une activité revêt un caractère commercial et que les produits correspondants sont mis sur le marché et acquièrent une valeur commerciale et génèrent de la richesse, il est juste qu’ils soient réglementés auprès de l’ARC».

La commission de l’industrie, de la recherche et de l’énergie du Parlement européen est consciente que la mise en œuvre du Cyber ​​Resilience Act aura des impacts importants sur le monde productif, industriel et commercial. « Nous sommes conscients que nous demandons aux opérateurs du secteur un effort important. C’est pourquoi nous jugeons opportun de mettre en place des mesures d’accompagnement au respect de la loi. Ensuite, il y a une autre question sensible : aujourd’hui, il n’y a pas de compétences nécessaires sur le marché pour pouvoir faire face à cette réglementation. Il faut donc faire face à cette situation et s’organiser adéquatement. Je parle du système de production, mais aussi de tout l’environnement institutionnel, de recherche et de formation qui peut accompagner cette transformation».

Reproduction réservée © (Article protégé par le droit d’auteur)