L'UE adopte le Cyber Résilience Act pour sécuriser les objets connectés
Le Cyber Résilience Act va imposer aux fabricants d'objets connectés de veiller à la sécurité de leurs produits et de fournir si nécessaire des mises à jour de sécurité. Des obligations bienvenues à l'heure où les collectivités investissent massivement dans les objets connectés.
Le Parlement européen et le Conseil européen ont finalisé le 30 novembre 2023 un accord politique sur le Cyber Résilience Act, visant à renforcer la sécurité des objets connectés. Ce texte couvre un champ très large qui va des produits grand public aux objets de la smart city comme les compteurs intelligents, les hyperviseurs et caméras connectées. Il concerne aussi beaucoup d'éléments clés des systèmes d'information comme les antivirus, les pare-feux, les routeurs ou les gestionnaires de mots de passe. Les produits concernés seront cependant associés à différents niveaux de risque d'exigence. Les fabricants respectant les normes européennes pourront apposer le marquage CE et moins de 10% des produits "hautement critiques" seront soumis à des évaluations par des tiers.
Mise à jour de sécurité
Ce règlement exige des fabricants qu'ils traitent les failles de sécurité importantes tout au long du cycle de vie du produit et qu'ils signalent toute faille activement exploitée aux autorités compétentes. Ils devront notamment fournir des mises à jour de sécurité pendant toute la durée pendant laquelle le produit est censé être utilisé. La gestion de ces informations de sécurité reviendra aux Centres de réponses aux incidents de sécurité informatique (CSIRT) nationaux en lien avec l'Agence européenne pour la cybersécurité (Enisa) pour les risques systémiques. Les produits développés exclusivement pour la sécurité nationale ou la défense sont exclus du champ d'application du règlement.
En ce qui concerne les logiciels libres, l'accord obtenu stipule que seuls les logiciels développés dans le cadre d'activités commerciales seront concernés par la réglementation. Les responsabilités en matière de documentation et de gestion des failles de sécurité seront plus limitées pour les développeurs de logiciels libres. De plus, les organisations à but non lucratif qui distribuent des logiciels libres sur le marché, mais réinvestissent tous les revenus dans des activités non lucratives, sont exclues du champ d'application de la législation. Cette distinction vise à protéger les communautés de logiciels libres tout en assurant la sécurité des produits commerciaux intégrant ces logiciels.
Si un fabricant d'objet connecté ne se conforme pas aux exigences européennes, les autorités nationales pourront interdire le produit et lui infliger une amende administrative.
Entrée en vigueur début 2024
L'accord conclu est désormais soumis à l'approbation formelle du Parlement et du Conseil européen. Une fois adopté, le Cyber Résilience Act entrera en vigueur le 20e jour suivant sa publication au Journal officiel. Dès lors, les fabricants, importateurs et distributeurs de produits matériels et logiciels disposeront de 36 mois pour s'adapter aux nouvelles exigences. Ce texte s'inscrit dans la stratégie de l'Union européenne de cybersécurité de 2020 et complète la directive NIS 2. Cette dernière, en attente de transposition en droit français, porte sur les obligations cyber des entités essentielles et importantes. Son périmètre d'application aux collectivités n'est cependant toujours pas connu.