Cyber Resilience Act européen : vers une cyber sécurité by design pour l’IoT
Enceintes, montres, jouets, caméras, « baby phones » …, la place occupée par les objets connectés dans nos vies a connu une croissance exponentielle.
Comme tout équipement informatique communicant, ces objets peuvent présenter des vulnérabilités entraînant des risques cyber comme leur piratage ou le vol des données personnelles qu’ils contiennent. Pourtant, la plupart d’entre eux ne sont aujourd’hui soumis à aucune règlementation spécifique en matière de cyber sécurité.
Aujourd’hui, une organisation dans le monde est frappée toutes les 11 secondes par une attaque ransomware. Il était urgent de définir un cadre juridique ambitieux en matière de cyber sécurité pour l’Internet of Things (IoT).
C’est là tout l’esprit du projet de règlement présenté le 15 septembre dernier par la Commission européenne : « En introduisant la cyber sécurité dès la conception, le Cyber Resilience Act contribuera à protéger l’économie européenne et la sécurité de tous », déclarait Thierry Breton, l’actuel commissaire au marché intérieur, lors d’une conférence de presse sur le sujet.
Champ d’application du Cyber Resilience Act
Le règlement a d’abord pour objectif d’harmoniser les règles relatives à la cyber sécurité lors de la conception et du développement des « produits comportant des éléments numériques », (ci-après « produits »).
Cette notion, définie à l’article 3 du texte est particulièrement extensive et devrait inclure la plupart des appareils technologiques : smartphones, jouets, ordinateurs, assistants vocaux…
A noter que les logiciels SaaS ne sont pas couverts par ce projet de règlement, celui-ci ne visant que les produits et non les services. La directive NIS 2 (« Network and Information Security ») soumet néanmoins les fournisseurs de ces services à des exigences techniques équivalentes en matière de cybersécurité.
Les fabricants devront intégrer la cyber sécurité tout au long du cycle de vie des produits
Les règles de sécurité devront être prises en compte dès la conception, durant le développement, la production, la livraison et durant la maintenance.
Avant leur mise sur le marché, les fabricants devront conduire une évaluation des risques afin de s’assurer que les produits ont été conçus et développés conformément à certaines exigences en matière de cyber sécurité, précisées à l’Annexe I du projet de règlement. Les produits devront notamment être livrés avec une configuration sécurisée, être protégés contre les accès non autorisés et respecter les principes du RGPD.
Le texte fait également peser des obligations d’accountability sur les fabricants qui devront disposer de politiques et procédures appropriées et documenter les risques cyber et les vulnérabilités auxquels sont exposés les produits. En cas d’incident ou de vulnérabilité activement exploitée, les fabricants devront informer l’ENISA (« European Union Agency for Cybersecurity ») dans un délai de 24h, ainsi que les utilisateurs.
Une fois le produit vendu, le fabricant devra veiller à ce que, pendant la durée de vie prévue ou durant 5 ans (la durée la plus courte étant retenue), les vulnérabilités soient traitées efficacement.
La transparence est également de mise : des instructions claires et compréhensibles devront guider l’utilisation des produits.
Une approche par les risques
Pour différencier les produits de la vie quotidienne (télévisions ou haut-parleurs intelligents par exemple) des infrastructures beaucoup plus sensibles, le projet de règlement opère une distinction entre 2 grandes catégories de produits : la catégorie par défaut et la catégorie des produits dits « critiques », elle-même divisée en deux classes, et qui représente 10% des produits.
La liste des produits critiques de classes I et II est fournie à l’Annexe III du projet de règlement. On y trouve par exemple les gestionnaires de mots de passe, les pare-feu, interfaces de réseau (classe I), les systèmes d’exploitation, unités centrales ou les émetteurs de certificats numériques (classe III).
L’intérêt de cette distinction réside dans la procédure d’évaluation des risques.
Pour les produits de la catégorie par défaut qui représente 90% des produits, le fabricant pourra se contenter d’une évaluation interne, effectuée sous sa propre responsabilité.
Pour les produits critiques de classe I, les fabricants devront démontrer la conformité avec une norme déjà existante ou à défaut faire évaluer la conformité par une tierce partie désignée par chaque État membre.
Pour les produits critiques de classe II, l’évaluation des risques devra nécessaire être conduite par un tiers.
Quelles sont les prochaines étapes ?
La proposition de la Commission européenne est la première étape du parcours de vie du texte.
Le Parlement européen et le Conseil doivent encore examiner le projet de Cyber Resilience Act. S’en suivra alors la phase de trilogue durant laquelle la Commission, le Parlement et le Conseil devront s’accorder sur un texte final.
Les discussions devraient probablement se cristalliser autour du coût de mise en œuvre de ces nouvelles exigences pour les entreprises.
Sources