Tribunes

Le Cyber Resilience Act : un texte majeur pour renforcer la cybers�curit� au plan europ�en

Le Cyber Resilience Act : un texte majeur pour renforcer la cybersécurité au plan européen
Christiane F�ral-Schuhl, cofondatrice et associ�e du cabinet F�ral : � Le R�glement Cyberr�silience ne sera pleinement applicable que fin 2027. Pour autant, certaines dispositions ont vocation � s'appliquer ant�rieurement �. (Photo Beno�t P�tre)

Consid�rant difficile pour les utilisateurs de faire un choix de mat�riels et de logiciels �clair� en mati�re de s�curit�, le l�gislateur europ�en impose d�sormais des r�gles strictes aux fabricants, importateurs et distributeurs dans l'Union. Le Cyber Resilience Act a �t� publi� le 20 novembre 2024.

Publicit�Le R�glement cyberr�silience, publi� au Journal officiel de l'Union europ�enne le 20 novembre 2024, vient compl�ter un arsenal de textes adopt�s le 14 d�cembre 2022 : La directive NIS 2 pour att�nuer les menaces pesant sur les r�seaux et les syst�mes d'information servant � fournir des services essentiels dans des secteurs cl�s (les infrastructures t�l�coms par exemple) ; La directive REC (R�silience des entit�s critiques) pour pr�venir de mani�re plus efficace les incidents susceptibles de perturber la fourniture des services essentiels (�nergie, transport, secteur bancaire, sant�...) Le R�glement DORA (Digital Operational Resilience Act), qui entrera en vigueur le 17 janvier 2025, pour renforcer et harmoniser la gestion des risques li�s, dans les entit�s financi�res, aux technologies de l'information et de la communication (TIC).

Consid�rant que les utilisateurs, faute d'informations suffisantes sur le niveau de s�curit� des produits, ne sont pas en mesure d'op�rer des choix �clair�s sur les �quipements mat�riels et logiciels qu'ils utilisent, le l�gislateur europ�en a entrepris de d�finir des normes minimales de s�curit� pour les produits incluant des �l�ments num�riques et des contraintes de mises � jour de s�curit� pendant cinq ans apr�s leur mise sur le march�.

Le nouveau texte europ�en cible tous les produits qui se connectent directement ou indirectement � un autre appareil ou � un r�seau, y inclus leurs composants mis sur le march� s�par�ment (cam�ras, montres, r�frig�rateurs intelligents...), � l'exclusion toutefois des dispositifs m�dicaux, des v�hicules terrestres et a�riens et, plus g�n�ralement, des produits d�j� soumis � d'autres r�glementations europ�ennes de cybers�curit�.

Les fabricants, en premi�re ligne du dispositif

Les fabricants, importateurs et distributeurs sont ainsi dans le viseur du l�gislateur europ�en et sous le contr�le des autorit�s de surveillance d�sign�es par les �tats membres.

Le fabricant, en premi�re ligne du dispositif, doit veiller � ce que ses produits connect�s soient con�us dans le respect des contraintes sp�cifiques �num�r�es � l'nnexe 1 du R�glement ; ils doivent inclure :

- Une configuration de s�curit� par d�faut, par exemple une configuration permettant, d�s la premi�re installation, un changement de mot de passe par d�faut ; ou bien des param�tres r�seau limit�s � des protocoles s�curis�s par d�faut (HTTPS, WPA3 pour le Wi-Fi) ou encore des fonctions non-essentielles (comme un acc�s � distance) d�sactiv�es par d�faut.

Publicit�- Un syst�me de mise � jour permettant la correction des vuln�rabilit�s ; par exemple, si une vuln�rabilit� est d�tect�e par un micrologiciel, une mise � jour doit �tre automatiquement t�l�charg�e et install�e ; il est �galement possible de pr�voir que les utilisateurs sont inform�s de la mise � jour via une application mobile ou un tableau de bord en ligne.

- Un syst�me de protection contre les acc�s non autoris�s, ce qui peut se traduire par un acc�s prot�g� par une authentification � deux facteurs (2FA), n�cessitant un mot de passe et un code envoy� � un appareil autoris� (par exemple, une application mobile ou un SMS) ; toute tentative d'acc�s non autoris� pourrait g�n�rer une alerte imm�diate envoy�e � l'utilisateur (via l'application ou un e-mail).

- Un syst�me apte � prot�ger la confidentialit� des donn�es stock�es, par exemple en pr�voyant le chiffrement des flux vid�o en direct et des enregistrements, � la fois pendant leur transmission et lorsqu'ils sont stock�s sur un cloud ; les param�tres de la cam�ra peuvent permettre de d�sactiver la collecte ou le stockage de donn�es non n�cessaires, comme les m�tadonn�es des enregistrements.

Une d�claration de conformit� obligatoire

Le fabricant doit �galement �tablir la d�claration UE de conformit� pour en attester et fournir aux utilisateurs des informations concernant l'identification du produit (num�ro de lot ou de s�rie), les coordonn�es du fabricant et la date de fin de la p�riode d'assistance ; il est tenu �galement d'apposer sur le produit un marquage CE et un pictogramme ou tout autre marquage indiquant le niveau du risque cyber, afin de permettre aux utilisateurs de choisir le produit de fa�on �clair�e.

Enfin, il doit assurer les corrections pendant une � p�riode d'assistance � de 5 ans minimum � compter de la commercialisation du produit et notifier toute vuln�rabilit�, d�s sa connaissance, au centre de r�ponse aux incidents de s�curit� informatique (CSIRT) concern�s et � l'Agence europ�enne pour la cybers�curit� (ENISA), d'abord sous forme d'alerte, puis sous forme de rapport.

Des obligations de v�rification pour l'importateur et le distributeur

L'importateur a, quant � lui, une obligation de v�rification, avant sa mise sur le march�, que le produit est conforme aux exigences essentielles de cybers�curit� et que le fabricant a mis en place des processus de gestion des vuln�rabilit�s suffisants. Il doit obtenir du fabricant un ensemble de documents justifiant de sa conformit�. Il doit �galement communiquer ses coordonn�es aux utilisateurs.

Le distributeur doit proc�der � la v�rification du marquage CE sur le produit. Il doit �galement s'assurer que le fabricant et l'importateur ont respect� certaines de leurs obligations au titre du R�glement. En cas de non-conformit� du produit, l'importateur et le distributeur doivent informer le fabricant ainsi que les autorit�s de surveillance du march�.

Une mise en application fin 2027

Les manquements � leurs obligations exposent le fabricant � 15 millions d'euros ou 2,5% de son chiffre d'affaires, les importateurs et les distributeurs, � 10 millions d'euros ou 2% de leur chiffre d'affaires. La fourniture d'informations inexactes aux organismes d'�valuation et autorit�s de surveillance est sanctionn�e par une amende pouvant atteindre 5 millions d'euros ou 1% du chiffre d'affaires. Par ailleurs, un produit jug� non conforme ou pr�sentant un risque pourra faire l'objet de restrictions allant jusqu'au retrait du march�. Il appartient toutefois � chaque �tat membre de d�terminer des sanctions � effectives, proportionn�es et dissuasives � et de veiller � leur bonne application.

Certes le R�glement Cyberr�silience ne sera pleinement applicable que fin 2027 (3 ans apr�s son entr�e en vigueur, qui sera effective le 10 d�cembre 2024). Pour autant, certaines dispositions ont vocation � s'appliquer ant�rieurement. Il s'agit notamment des r�gles concernant la notification � la Commission, par les �tats membres, des organismes d'�valuation de la conformit� qui s'appliqueront 18 mois � compter de l'entr�e en vigueur du r�glement et des obligations des fabricants en mati�re de communication d'informations au CSIRT et � l'ENISA qui s'appliqueront 21 mois � compter de l'entr�e en vigueur du r�glement. Et surtout, la comp�titivit� invite � une mise en conformit� sans tarder !

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez �tre connect� � votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicit�

    Abonnez-vous � la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    OSZAR »