Bruxelles instaure une obligation de cybersécurité "by design" pour les fabricants d'objets connectés
L'Europe cherche à se doter d'une législation sur la cybersécurité des appareils connectés et des logiciels attenants. La Commission vient de présenter un texte, qui doit encore être approuvé par le Parlement et le Conseil, qui prévoit que seuls les dispositifs conformes à certaines règles pourront être mis sur le marché. Pour les produits les moins critiques, les fabricants s'autoévalueront et pour les plus critiques, un organisme tiers s'occupera de la procédure.
Thierry Breton, commissaire au marché intérieur, et Margaritis Schinas, vice-président chargé de la promotion de notre mode de vie européen, ont présenté ce 15 septembre le "Cyber Resilience Act". Cette proposition européenne vise à protéger les consommateurs et les entreprises des objets connectés non sécurisés grâce à de nouvelles normes de mise sur le marché unique. Les fabricants seront ainsi tenus de les respecter lors de la conception de leurs produits (hardware et software) ainsi que sur l'ensemble de leur cycle de vie.
Comme l'a expliqué Thierry Breton lors de la conférence de presse, les appareils connectés ne cessent de se multiplier. Ils devraient être "75 milliards d'ici à 2025 au bas mot" à l'échelle mondiale. Or, "les ordinateurs, les téléphones, les appareils ménagers, les dispositifs d'assistance virtuels, les voitures, les jouets... chacun de ces centaines de millions de produits connectés peut servir de porte d'entrée à une cyberattaque".
Pourtant et malgré ce risque, il n'existe pas encore de régime général obligeant les fabricants à s'assurer que leurs produits sont robustes en matière de sécurité informatique. D'où l'idée d'instaurer une obligation de "security by design", doctrine selon laquelle l'aspect de la cybersécurité doit être pris en compte dès la conception du produit.
Hardware et software sont concernés
Dans les détails, sont concernés les objets sans fil et filaires qui sont connectés directement ou indirectement à un autre appareil ou réseau et les logiciels. En revanche, le texte ne s'applique pas au logiciel fourni dans le cadre d'un service – c'est-à-dire qui n'est pas directement rattaché à un objet – ainsi qu'aux produits présents dans certains secteurs, tels que les dispositifs médicaux, l'aviation et les voitures, pour lesquels il existe déjà des règles.
Au niveau de la procédure, en fonction du caractère critique du produit, les fabricants pourront autoévaluer leurs produits (niveau bas de criticité) ou procéder à une évaluation par un tiers (niveau élevé de criticité). "Pour 90% des produits, il sera possible pour le producteur de faire lui-même la déclaration de conformité, détaille le commissaire européen. Nous avons cherché évidemment à alléguer [les formalités]." En revanche, il y a "une trentaine de produits beaucoup plus critique en termes de risques cyber", tels que les routeurs, les systèmes d'exploitation, pour lesquels l'examen de conformité devra être effectué par un tiers. Une fois la conformité du produit démontrée, les fabricants pourront apposer le marquage CE sur leurs produits. Ce dernier indiquera donc qu'ils sont conformes aux exigences du Cyber Resilience Act et qu'ils peuvent librement circuler sur le marché intérieur.
Les fabricants devront également respecter de nouvelles règles visant à délivrer une information plus précise et des instructions plus claires aux consommateurs.
Des sanctions à la clé en cas de non-conformité
Les Etats membres devront désigner des autorités de surveillance chargées de veiller au respect des obligations prescrites. En cas de non-conformité, elles pourront exiger des opérateurs qu'ils mettent fin à cette non-conformité et éliminent le risque, qu'ils interdisent ou restreignent la mise à disposition d'un produit sur le marché ou ordonnent le retrait ou le rappel du produit. Elles auront également le pouvoir d'infliger des sanctions aux entreprises contrevenantes.
Ainsi, le non-respect des normes de sécurité peut engendrer une amende allant jusqu'à 15 millions d'euros ou 2,5% du chiffre d'affaires annuel mondial total. La fourniture d'informations incorrectes, incomplètes ou trompeuses est passible d'une amende pouvant aller jusqu'à 5 millions d'euros, si le contrevenant est une entreprise, jusqu'à 1 % de son chiffre d'affaires annuel mondial total.
Avant de devenir définitif, le texte devra être approuvé par le Parlement européen et le Conseil. Une fois entré en vigueur, les opérateurs économiques et les Etats membres disposeront de deux ans pour s'adapter aux nouvelles exigences. En revanche, les fabricants n'auront qu'un an pour respecter l'obligation de déclaration en ce qui concerne les vulnérabilités activement exploitées et les incidents.
SUR LE MÊME SUJET
Bruxelles instaure une obligation de cybersécurité "by design" pour les fabricants d'objets connectés
Tous les champs sont obligatoires
0Commentaire
Réagir