Avec son Cyber Resilience Act, l'Europe ne veut plus de produits numériques vulnérables sur son marché

Secu

L’Europe veut réglementer la cybersécurité des produits avec un Cyber Resilience Act

Par Laurent Delattre, publié le 24 octobre 2022

La Commission européenne a proposé mi-septembre un projet de texte, baptisé Cyber Resilience Act, visant à encadrer la sécurité des « produits numériques ». Des smartphones aux systèmes d’exploitation, presque tous les acteurs du numérique seront concernés.

Le Cyber Resilience Act a pour objet d’imposer des règles minimum aux industriels et éditeurs de produits connectés en termes de cybersécurité. Il répond à un vide réglementaire. Car à ce jour, la plupart des produits matériels embarquant des éléments numériques et logiciels ne sont soumis à aucune obligation en matière de cybersécurité.

Il a également été motivé par les nombreuses défaillances de ce type de produits qui ont notamment conduit les DSI et RSSI à afficher ouvertement leur “ras-le-bol” et leur inquiétude face à une situation qui ne fait qu’empirer. On peut notamment citer les nombreuses failles de sécurité sur une bonne partie des caméras de surveillance, sur les routeurs, sur la supply chain logicielle; qui ont largement été exploitées par des hackers ces derniers temps…

À LIRE AUSSI :

Le Cyber Resilience Act (CRA) cible très largement tous les « produits comportant des éléments numériques », ce qui inclut aussi bien les produits physiques que les logiciels, en excluant cependant les appareils utilisés dans le milieu médical et dans l’aéronautique, déjà couverts par d’autres réglementations européennes (telles que la directive NIS 2).

Autre exception à la couverture du CRA : les services en ligne, notamment logiciels de type messagerie, sont également exclus du texte sauf s’ils sont directement liés à un produit. Par contre dans la logique générale du texte, tous les outils numériques, des smartphones aux processeurs en passant par les systèmes d’exploitation ou les navigateurs sont concernés.

Le texte présenté par la Commission détaille ainsi une première série d’obligations  “par défaut” s’appliquant à l’ensemble de ces produits.

Mais il établit aussi une deuxième catégorie de produits considérés comme « critiques ».Dans cette dernière, elle-même divisée en deux « classes » selon leur niveau de criticité, on retrouve des briques sensibles des SI ou des produits dont les failles de sécurité présentent un risque pour un grand nombre de personnes.

À LIRE AUSSI :

La Commission précise la liste des produits appartenant à cette catégorie et qui devront se soumettre à des exigences supplémentaires. La classe 1, la plus « critique » comporte entre autres les antivirus, VPN…La seconde, les OS, serveurs, hyperviseurs…Une liste qui reste modifiable par la Commission.

Pour les fabricants, le texte prévoit deux obligations majeures pour les produits de catégorie critique (class I ou II) :

– D’abord, ne pas livrer de produits comportant des failles de sécurité connues. C’est un point essentiel. Ces derniers mois, certains fournisseurs (notamment dans les smartphones) se sont vus reprochés un manque de rigueur avec des appareils livrés sans les derniers patchs de sécurité installés ou embarquant des logiciels utilisant des bibliothèques anciennes (aux vulnérabilités connues depuis plusieurs mois ou années).

– Ensuite, accompagner leurs produits d’une documentation claire sur le sujet de la sécurité, de ses mises à jour, et assurer la diffusion de correctifs de sécurité pendant au moins cinq ans. Les fabricants seront également tenus de signaler sous vingt-quatre heures à l’Agence de l’Union européenne pour la cybersécurité les nouvelles vulnérabilités découvertes dans leurs produits et activement exploitées par des cybercriminels.

La Commission laisse aux États membres la tâche de désigner des organismes de surveillance du marché. Ceux-ci seront chargés de vérifier la conformité des fabricants et des produits à la nouvelle régulation. En cas de manquement, le texte prévoit des amendes pouvant s’élever jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires de l’entreprise fautive, ainsi que la possibilité d’interdire à un produit la commercialisation sur le sol européen.

Le texte est à ce stade une proposition et doitobtenir l’accord du Parlement européen, ainsi que celui du Conseil de l’Union européenne. Les trois devront ensuite négocier pour s’accorder sur un texte final ce qui laisse présager quelques « amendements » par rapport au texte initial.


Pour en savoir plus : EU Cyber Resilience Act – Questions & Answers


À LIRE AUSSI :

Dans l'actualité