L’Europe va obliger les fabricants d’objets connectés à sécuriser leurs produits

Caméras vidéo, panneaux de signalisation, pompes à eau… si la plupart des objets sont désormais "connectés", ils sont souvent peu sécurisés et représentent autant de portes d’entrées pour les pirates. Pour y remédier, la Commission européenne a présenté le 15 septembre 2022 le "Cyber Resilience Act", un projet législatif qui vise à rendre les fabricants de produits connectés, et logiciels associés, responsables de leur cybersécurité. Tous les produits connectés à un réseau, filaire ou sans fil, à usage grand public comme industriel, sont concernés. Désormais, la sécurité "by design" devra être intégrée tout au long du cycle de vie du produit : conception, développement, fabrication, livraison... Les risques cyber devront être documentés, de même que les failles et incidents de sécurité. Pendant un minimum de cinq ans, les fabricants devront assurer la maintenance de leur produit et mettre à disposition d’éventuels patchs. Les obligations seront cependant différenciées par catégorie de produit. Les produits grand public (montres, enceintes…), soit 90% des produits selon l’évaluation de la Commission, seront soumis à des obligations déclaratives mais avec la possibilité de lourdes amendes en cas de négligence. Les produits et logiciels "critiques" - dont ceux utilisés par des entités soumises à des obligations cyber fortes dans le cadre de la directive NIS 2 - devront pour leur part recevoir l’agrément d’un tiers. Dans cette catégorie critique, on trouve par exemple des pare-feu, des systèmes d’exploitation, des puces ou encore les gestionnaires de mot de passe. Ce texte doit maintenant être voté par le Parlement et le Conseil européens, les États membres disposeront alors de deux ans pour le transposer.