La Commission européenne a présenté hier 15 septembre 2022 une proposition de nouvel acte législatif sur la cyber-résilience qui vise à protéger les consommateurs et les entreprises contre les produits connectés, matériels et logiciels, dont les caractéristiques de sécurité ne sont pas suffisantes.
Cet acte, le premier de ce type dans la législation de l'Union européenne, introduit des exigences obligatoires en matière de cybersécurité, applicables aux produits sans fil et filaires comportant des éléments numériques, et ce sur l'ensemble de leur cycle de vie. Dans ce cadre, la responsabilité des fabricants et des vendeurs devrait se voir encore plus engagée, car ils seront obligés de fournir une assistance en matière de sécurité et des mises à jour logicielles pour remédier aux vulnérabilités recensées, et les consommateurs devront pouvoir disposer d'informations suffisantes sur la cybersécurité des produits qu'ils achètent et utilisent.
« Nous sommes en droit d'attendre que les produits que nous achetons sur le marché unique soient sûrs, a précisé Margrethe Vestager, vice-présidente exécutive pour une Europe adaptée à l'ère du numérique. Tout comme nous pouvons faire confiance à un jouet ou à un réfrigérateur muni d'un marquage CE, nous pourrons, grâce à l'acte législatif sur la cyber-résilience, avoir l'assurance que les objets et les logiciels connectés que nous achetons offrent des garanties solides en matière de cybersécurité. Cet acte fera peser la responsabilité sur ceux qui doivent l'assumer, c'est-à-dire ceux qui mettent les produits sur le marché. »
Toutes les onze secondes dans le monde, une organisation est victime d'une attaque par rançongiciel, indique la Commission européenne, et on estimait en 2021 que le coût annuel de la cybercriminalité représentait 5 500 milliards d'euros à l'échelle de la planète. D’où l’importance d'assurer un niveau élevé de cybersécurité et de réduire les vulnérabilités des produits numériques qui constituent l'un des principaux vecteurs des attaques. Alors que les produits intelligents et connectés se multiplient, un incident de cybersécurité touchant un produit peut en effet avoir des répercussions sur l'ensemble de la chaîne d'approvisionnement, ce qui peut entraîner de graves perturbations des activités économiques et sociales dans le marché intérieur, compromettre la sécurité, ou même représenter un danger de mort.
« En matière de sécurité, la résistance de l'Europe est déterminée par celle de son maillon le plus faible : il peut s'agir d'un État membre vulnérable ou d'un produit non sécurisé dans la chaîne d'approvisionnement, précise Thierry Breton, commissaire au marché intérieur. Les ordinateurs, les téléphones, les appareils ménagers, les dispositifs d'assistance virtuels, les voitures, les jouets... chacun de ces centaines de millions de produits connectés peut servir de porte d'entrée à une cyberattaque. Pourtant, aujourd'hui, la plupart des produits matériels et logiciels ne sont soumis à aucune obligation en matière de cybersécurité. En introduisant la cybersécurité dès la conception, l'acte législatif sur la cyber-résilience contribuera à protéger l'économie européenne et la sécurité de tous. »
Dans le détail, les mesures proposées sont fondées sur le nouveau cadre législatif applicable à la législation sur les produits dans l'UE et définiront notamment des règles relatives à la mise sur le marché de produits comportant des éléments numériques afin de garantir leur conformité aux exigences de cybersécurité, ainsi que des exigences essentielles relatives à la conception, au développement et à la production des produits comportant des éléments numériques, et des obligations incombant aux opérateurs économiques en ce qui concerne ces produits.
On y trouvera aussi des exigences essentielles relatives aux processus de gestion de la vulnérabilité mis en place par les fabricants pour garantir que les produits comportant des éléments numériques sont conformes aux exigences de cybersécurité tout au long de leur cycle de vie, et des obligations incombant aux opérateurs économiques en ce qui concerne ces processus. Les fabricants devront aussi signaler les vulnérabilités activement exploitées et les incidents. Enfin des règles seront définies quant à la surveillance du marché et au contrôle de l'application desdites règles.
Le règlement proposé s'appliquera à tous les produits qui sont connectés directement ou indirectement à un autre appareil ou réseau. Il existe certaines exceptions concernant les produits pour lesquels la législation existante de l'UE fixe déjà des exigences en matière de cybersécurité, tels que les dispositifs médicaux, l'aviation ou les voitures.
C’est désormais au Parlement européen et au Conseil de l’Europe d'examiner le projet d'acte législatif sur la cyber-résilience. Une fois celui-ci adopté, les opérateurs économiques et les États membres disposeront de deux ans pour s'adapter aux nouvelles exigences.
« Il convient de rappeler cependant que les appareils IoT sécurisés sont difficiles à concevoir, nuance Daniel Markuson, expert en cybersécurité chez NordVPN. Ils disposent d'un espace, d'une mémoire et/ou d'une puissance de calcul limités pour les fonctions de sécurité, de sorte que les fabricants réduisent les coûts en laissant une sécurité faible ou inexistante. Le chiffrement et le déchiffrement sont des processus exigeants. La réelle question est donc : est-ce que tous les fabricants pourront réellement suivre ? Seul l’avenir nous le dira ! »
