L’utilisation d’objets connectés est en pleine expansion depuis plusieurs années. Leur présence au quotidien est devenue une norme sur une grande partie de la planète. Il est estimé que d’ici 2030 dans le monde, le foyer moyen hébergera 50 objets connectés. Cette omniprésence n’est pas encore claire pour tous les utilisateurs, mais les cyberattaquants, eux, en sont bien conscients. La situation inquiète et motive l’Union européenne à réagir.
Un texte en cours d’élaboration
La proposition de règlement sur la cyber-résilience (Cyber Resilience Act ou CRA en anglais), a été publiée le 15 septembre 2022. Elle est actuellement en cours d’examen par le Parlement européen et le Conseil de l’Union européenne. Elle visera tous les produits en vente sur le territoire de l’Union européenne qui contiennent des éléments numériques, ou incluent une connexion directe ou indirecte à un réseau. Les opérateurs économiques à tous les niveaux de la chaîne de production de l’objet en question devront s’y soumettre, du concepteur au distributeur en passant par le constructeur.
L’objectif annoncé de ce texte est double. D’abord, il doit permettre de garantir la sûreté du marché européen en diminuant au maximum les vulnérabilités des produits physiques et des logiciels sur le territoire de l’Union. Ensuite, il doit participer à la création d’un environnement dans lequel le consommateur européen serait en mesure de prendre la cybersécurité en compte lors du processus de sélection et d’achat d’un produit. Ce second objectif est plus large et ne sera atteint qu’après la coordination de plusieurs textes.
L’accompagnement de tout le cycle de vie du produit
Un objet entrant dans le champ d’application du CRA aura des exigences particulières à respecter. Ces dernières engloberont l’entièreté du cycle de vie du produit. La cybersécurité devra donc être prise en compte dès la phase de planification et de conception, mais également lors de la livraison et de la maintenance. Ainsi, les obligations ne s’arrêtent pas à la production mais se poursuivent une fois le produit distribué. Des mesures de sécurité devront être mises en œuvre durant la création et aucune vulnérabilité ne devra être connue lors de la mise sur le marché. En cas d’incident, un signalement devra être effectué au public et à l’Agence européenne pour la cybersécurité (ENISA).
Concernant les mesures de cybersécurité à mettre en œuvre, tous les produits ne feront pas l’objet des mêmes exigences. Pour la très grande majorité d’entre eux, ils pourront être simplement auto-évalués par le producteur. En revanche, pour les objets à risque et dits « critiques », ils devront se conformer à un standard supplémentaire, et seront évalués par un organisme tiers. Ces exigences sont plus lourdes et visent les produits pour lesquels une défaillance pourrait avoir des conséquences particulièrement importantes.
Une fois ce texte adopté, il s’appliquera directement et les opérateurs économiques auront deux ans pour le mettre en œuvre. Le règlement sur la cyber-résilience s’inscrit dans une démarche globale de l’Union européenne qui vise à assurer la sécurité de l’ensemble des acteurs dans le cyberespace, et devrait également être suivi par d’autres.
Lilian VASSEUR
Master 2 Cyberjustice 2022/2023
Sources :
eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52022PC0454
https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act-factsheet