Esci
Date de publication : 01.04.2025
Cyber Resilience Act : les nouvelles exigences européennes en matière de cybersécurité
Le Cyber Resilience Act fixe un cadre réglementaire poussant les industriels à renforcer la cybersécurité des appareils connectés.
Annoncé en 2021, le Cyber Resilience Act est la proposition législative européenne qui introduit de nouvelles exigences pour la production d’appareils connectés. L’objectif est de responsabiliser les fabricants afin de n’avoir sur le marché que des produits technologiques conçus selon des normes de sécurité élevées.
Les produits concernés par la loi sont variés : PC, smartphones, logiciels, appareils sans fil, assistants vocaux, téléviseurs intelligents, systèmes de vidéosurveillance, voitures avec pilote automatique, domotique ou encore IoT (Internet des objets).
Contexte du Cyber Resilience Act
Contexte du Cyber Resilience Act
La proposition de loi de la Commission européenne sur la cyber-résilience découle de la reconnaissance de deux problèmes.
Le premier est l’exposition accrue des citoyens et des entreprises aux cyberattaques en raison de l’utilisation croissante des appareils connectés. Ce risque accru dépend de deux faits interdépendants :
- l’augmentation générale des cyberattaques,
- la présence sur le marché de produits présentant des vulnérabilités que les cybercriminels peuvent exploiter.
Le deuxième problème est la faible sensibilisation des utilisateurs à la cybersécurité, qui provient d’un accès insuffisant aux informations sur les produits. Or, cela leur permettrait de choisir les mieux protégés et de les utiliser en toute sécurité.
Si un cybercriminel prend le contrôle d’un appareil ou installe un logiciel malveillant, les conséquences peuvent être nombreuses : vol de données personnelles et professionnelles, interruption de services, interception de conversations, dommages aux biens et aux personnes, atteinte à la réputation, et bien plus encore.
Avec le Cyber Resilience Act, l’Europe veut répondre aux nouveaux défis en matière de cybersécurité, de vie privée et de protection des données, en plaçant la responsabilité de la protection des consommateurs sur les fabricants.
Les principaux risques
Les principaux risques
Examinons de plus près certaines des lacunes qui affectent les appareils connectés :
- Vulnérabilités des systèmes basés sur l’IoT et l’IA
Les appareils IoT exposent les consommateurs à des cyber-risques pour plusieurs raisons. La première est l’utilisation de mots de passe faibles, que les cybercriminels peuvent facilement compromettre. En outre, les appareils eux-mêmes manquent souvent d’une configuration logicielle et matérielle minimisant l’impact d’éventuelles actions malveillantes.
De plus, les appareils Internet of Things ne disposent souvent pas de systèmes de stockage et de transfert de données sécurisés et ces activités ne sont pas surveillées. La conséquence est double : de nouvelles opportunités pour les cybercriminels et l’incapacité à identifier et à répondre aux attaques. Les appareils alimentés par l’intelligence artificielle sont également soumis aux mêmes menaces.
- Réseaux non sécurisés
Il est facile pour les cybercriminels de « pirater » des réseaux dépourvus de systèmes de sécurité ou dotés d’une protection médiocre. En particulier, les réseaux non sécurisés sont vulnérables aux attaques de type « man-in-the-middle », dans lesquelles les cybercriminels s’insèrent dans les communications entre deux parties afin d’extorquer des informations ou des identifiants de connexion pour des comptes et des appareils.
Solutions proposées par la loi sur la cyber-résilience
Solutions proposées par la loi sur la cyber-résilience
Avec le Cyber Resilience Act, l’Europe veut créer les conditions :
- pour le développement de produits matériels et logiciels sécurisés. Les fabricants doivent faire de la cybersécurité un élément primordial de l’ensemble du cycle de vie du produit,
- qui permettent aux consommateurs de prendre en compte la cybersécurité lors du choix et de l’utilisation des appareils connectés.
À cette fin, la loi identifie des objectifs spécifiques :
- veiller à ce que les fabricants améliorent la sécurité des produits dès la phase de conception,
- établir un cadre cohérent de cybersécurité au sein de l’Union européenne, facilitant la conformité des produits matériels et logiciels,
- améliorer la transparence sur les conditions de sécurité des appareils pour les utilisateurs.
Comment garantir la sécurité des appareils connectés ?
Comment garantir la sécurité des appareils connectés ?
Il existe deux paradigmes de sécurité qui permettent aux fabricants de mettre sur le marché des appareils plus sécurisés : la sécurité par conception et la sécurité par défaut.
La sécurité dès la conception signifie le lancement sur le marché d’appareils qui, dès la première étape, répondent aux exigences visant à limiter les cybervulnérabilités. En termes simples, les produits sont créés avec la cybersécurité au cœur de leur développement.
De l’autre côté, la sécurité par défaut signifie que la configuration des appareils est déjà définie sur les paramètres les plus sécurisés possibles. Aujourd’hui, la configuration est généralement définie sur les niveaux les plus bas. Le problème est que de nombreux utilisateurs ne modifient pas ces paramètres initiaux faibles.
Les sanctions prévues par la proposition de loi sur la cyber-résilience
Les sanctions prévues par la proposition de loi sur la cyber-résilience
La proposition de la Commission européenne impose donc aux fabricants de respecter certaines normes pour pouvoir commercialiser leurs appareils dans l’UE. Mais que se passe-t-il s’ils ne s’y conforment pas ?
La loi sur la cyber-résilience prévoit à la fois des sanctions financières et le rappel du produit. Les amendes varient selon le type d’infraction :
- 10 millions d’euros, ou jusqu’à 2% du chiffre d’affaires annuel, pour les infractions moins graves,
- 15 millions d’euros, ou jusqu’à 2,5% du chiffre d’affaires annuel mondial de l’entreprise, pour les infractions les plus graves,
- 5 millions d’euros, ou jusqu’à 1% du chiffre d’affaires annuel, dans le cas où le fabricant fournirait des informations erronées ou incomplètes.
Pour évaluer la conformité des appareils sur le marché, la Commission européenne peut charger des États membres ou l’Agence de l’Union européenne pour la cybersécurité de mener des enquêtes.
