Cyber Resilience Act, c’est quoi exactement ? Explications…

Jeudi 15 septembre, la Commission européenne a présenté son dernier projet de loi nommé : Cyber Resilience Act. Son objectif est d’établir des règles communes pour tous les matériels connectés et les logiciels sur la sécurité et la protection des données. Cela équivaut à une norme CE dans le domaine de la sécurité. Le but étant de responsabiliser les fabricants sur la cybersécurité afin d’offrir des produits et services avec moins de vulnérabilités et un meilleur suivi. Il s’agit de la première loi européenne de ce genre…

La Commission entend agir plus fermement sur la sécurité des produits connectés, qui depuis de nombreuses années s’immiscent dans nos foyers afin de nous faciliter la vie quotidienne. Téléphones, ordinateurs, montres, réfrigérateurs, voitures, assistance virtuelle, jouets… nous sommes entourés de nombreux objets connectés à Internet. Chacun d’entre eux peut servir de porte d’entrée à notre domicile et entreprise, pour un hacker malintentionné. Aujourd’hui, une grande partie de ces objets connectées et logiciels ne sont astreints à aucune obligation en terme de sécurité.

À l’image des caméras de surveillances (régulièrement pointées du doigt) ou de jouets connectés pour lesquels la CNIL a tiré la sonnette d’alarme récemment face aux risques d’espionnage de nos enfants, le Cyber Resilience Act voit encore plus large. Il établit des règles pour l’ensemble des produits contenant des éléments numériques.

Sont exemptés de cette règle : les produits destinés à l’aéronautique, du monde médical et des voitures. Ces derniers sont déjà protégés par d’autres réglementations. Sont également évincés les services en ligne (s’ils ne sont pas liés à un appareil), les logiciels de services en ligne comme que les messageries.

Objets connectés et vulnérabilités

La Commission a remarqué que les objets connectés et les logiciels font de plus en plus l’objet de cyberattaques réussies (ndlr : il n’est jamais trop tard). Elle note aussi un niveau de sécurité extrêmement faible (insuffisance de mises à jour, vulnérabilités généralisées) sur de nombreux produits et logiciels.

La fragilité des objets connectés a été démontrée à de nombreuses reprises. Récemment, une expérience sur des lampes connectées offraient un accès de choix aux pirates. OVH Cloud a également été la cible d’une attaque de grande envergure, par des hackers qui avaient pris le contrôle de 14000 caméras connectées.

En 2021, une association a effectué des tests sur 16 objets connectés (aspirateurs intelligents, babyphones, téléviseurs intelligentes). De graves failles de sécurités ont été découvertes pour 10 d’entre eux.

Le coût

Le coût annuel de la cybercriminalité est estimé à 5,5 milliards d’euros pour l’année 2021. Le coût évalué de cette nouvelle réglementation avec la mise en conformité des produits, les évaluations des normes, l’obligation de documentations et autres rapports, pourrait atteindre 29 milliards d’euros (pour un chiffre d’affaires estimé à 1 485 milliards d’euros).

Différentes catégories de produits

Comme cette nouvelle règle concerne toutes les marchandises contenant des éléments électroniques, cela suggère que quasiment tous les appareils connectés sont concernés. Les produits sont divisés en deux catégories. Les différentes listes sont fournies par la Commission elle-même.

La première catégorie, les produits les plus critiques, regroupe ceux ayant un rôle central dans la sécurité des réseaux ou qui présentent des failles de sécurité pour un grand nombre de personnes. On y retrouve les gestionnaires de mots de passe, les VPN ou encore les antivirus.

La seconde catégorie répertorie les systèmes d’exploitation dans leur ensemble (pour les smartphone, les ordinateurs et serveurs, les routeurs et objets connectés).

Les associations de défense des consommateurs estiment que la liste des produits critiques devrait être plus élargie.

Les objectifs

Le Cyber Resilience Act permettra de donner des normes de sécurité. Dans un premier temps, toute une série d’obligations sera appliquée à l’ensemble des produits visés. Deux mesures principales :

  • dès la conception du produit : la sécurité du logiciel et du matériel devra être prise en compte ;
  • aucune faille de sécurité ne devra être connue lors de la livraison d’un produit.

Une documentation précise sur la sécurité, les risques auxquels sont exposés les objets, le support technique et même sur l’installation de mise à jour de sécurité devront être fournis avec le produit. Le but est d’informer les clients sur les normes de sécurité des produits. Les constructeurs devront également fournir des correctifs de sécurité et des mises à jour durant au moins 5 ans après la sortie du produit.

Les objectifs sont ambitieux :

  • Améliorer la sécurité des produits ;
  • avoir un environnement de cybersécurité avec des règles identiques pour tous les appareils connectés et les logiciels ;
  • Donner une vision claire en matière de sécurité des produits ;
  • Offrir des produits et logiciels avec une meilleure qualité en terme de sécurité aux consommateurs et aux entreprises.

A noter : Des exigences supplémentaires seront demandées aux 10% des produits les plus critiques (sans plus de précision pour le moment).

Des amendes…

Les produits dits critiques auront l’obligation de démontrer leur conformité. Un délai de 24h sera accordé au fabricant pour signaler des vulnérabilités exploitées par des cybercriminels à l’Agence de l’Union européenne pour la cybersécurité (Enisa).

Les États membres devront se charger eux-mêmes de faire vérifier la conformité à cette nouvelle réglementation. En cas de manquements, une amende de 15 millions d’euros maximum est prévue ou 2,5% du chiffre d’affaires mondial de l’entreprise.

Les audits seront faits pour la plupart en interne, seules les évaluations des normes de sécurité des produits critiques seront réalisées par une entreprise indépendante. Certains fabricants s’inquiètent déjà du risque de retard de lancement de leurs produits à cause des examens de sécurité effectués par un tiers.

Cette proposition est la toute première étape. Il va falloir attendre l’accord du Parlement européen, puis du Conseil de l’Union européenne. Les 3 entités négocieront les différents éléments afin d’aboutir à un texte de loi final. On se doute qu’un grand nombre de mesures risque d’être modifiées. Cette étape durera très certainement plusieurs mois. La loi devrait s’appliquer de la même manière dans tous les pays membres. Après son adoption, un délai de deux ans sera accordé aux entreprises pour s’adapter aux nouvelles exigences.

Cette nouvelle réglementation apporte des normes de sécurité sur de nombreux objets de la vie courante. L’objectif est d’améliorer la qualité en matière de sécurité. Cela n’arrêta pas les piratages, mais ça devrait réduire significativement leur nombre.