Le Règlement cyberrésilience, publié au Journal officiel de l'Union européenne le 20 novembre 2024, vient compléter un arsenal de textes adoptés le 14 décembre 2022 : La directive NIS 2 pour atténuer les menaces pesant sur les réseaux et les systèmes d'information servant à fournir des services essentiels dans des secteurs clés (les infrastructures télécoms par exemple) ; La directive REC (Résilience des entités critiques) pour prévenir de manière plus efficace les incidents susceptibles de perturber la fourniture des services essentiels (énergie, transport, secteur bancaire, santé...) Le Règlement DORA (Digital Operational Resilience Act), qui entrera en vigueur le 17 janvier 2025, pour renforcer et harmoniser la gestion des risques liés, dans les entités financières, aux technologies de l'information et de la communication (TIC).
Considérant que les utilisateurs, faute d'informations suffisantes sur le niveau de sécurité des produits, ne sont pas en mesure d'opérer des choix éclairés sur les équipements matériels et logiciels qu'ils utilisent, le législateur européen a entrepris de définir des normes minimales de sécurité pour les produits incluant des éléments numériques et des contraintes de mises à jour de sécurité pendant cinq ans après leur mise sur le marché.
Le nouveau texte européen cible tous les produits qui se connectent directement ou indirectement à un autre appareil ou à un réseau, y inclus leurs composants mis sur le marché séparément (caméras, montres, réfrigérateurs intelligents...), à l'exclusion toutefois des dispositifs médicaux, des véhicules terrestres et aériens et, plus généralement, des produits déjà soumis à d'autres règlementations européennes de cybersécurité.
Les fabricants, en première ligne du dispositif
Les fabricants, importateurs et distributeurs sont ainsi dans le viseur du législateur européen et sous le contrôle des autorités de surveillance désignées par les États membres.
Le fabricant, en première ligne du dispositif, doit veiller à ce que ses produits connectés soient conçus dans le respect des contraintes spécifiques énumérées à l'nnexe 1 du Règlement ; ils doivent inclure :
- Une configuration de sécurité par défaut, par exemple une configuration permettant, dès la première installation, un changement de mot de passe par défaut ; ou bien des paramètres réseau limités à des protocoles sécurisés par défaut (HTTPS, WPA3 pour le Wi-Fi) ou encore des fonctions non-essentielles (comme un accès à distance) désactivées par défaut.
- Un système de mise à jour permettant la correction des vulnérabilités ; par exemple, si une vulnérabilité est détectée par un micrologiciel, une mise à jour doit être automatiquement téléchargée et installée ; il est également possible de prévoir que les utilisateurs sont informés de la mise à jour via une application mobile ou un tableau de bord en ligne.
- Un système de protection contre les accès non autorisés, ce qui peut se traduire par un accès protégé par une authentification à deux facteurs (2FA), nécessitant un mot de passe et un code envoyé à un appareil autorisé (par exemple, une application mobile ou un SMS) ; toute tentative d'accès non autorisé pourrait générer une alerte immédiate envoyée à l'utilisateur (via l'application ou un e-mail).
- Un système apte à protéger la confidentialité des données stockées, par exemple en prévoyant le chiffrement des flux vidéo en direct et des enregistrements, à la fois pendant leur transmission et lorsqu'ils sont stockés sur un cloud ; les paramètres de la caméra peuvent permettre de désactiver la collecte ou le stockage de données non nécessaires, comme les métadonnées des enregistrements.
Une déclaration de conformité obligatoire
Le fabricant doit également établir la déclaration UE de conformité pour en attester et fournir aux utilisateurs des informations concernant l'identification du produit (numéro de lot ou de série), les coordonnées du fabricant et la date de fin de la période d'assistance ; il est tenu également d'apposer sur le produit un marquage CE et un pictogramme ou tout autre marquage indiquant le niveau du risque cyber, afin de permettre aux utilisateurs de choisir le produit de façon éclairée.
Enfin, il doit assurer les corrections pendant une « période d'assistance » de 5 ans minimum à compter de la commercialisation du produit et notifier toute vulnérabilité, dès sa connaissance, au centre de réponse aux incidents de sécurité informatique (CSIRT) concernés et à l'Agence européenne pour la cybersécurité (ENISA), d'abord sous forme d'alerte, puis sous forme de rapport.
Des obligations de vérification pour l'importateur et le distributeur
L'importateur a, quant à lui, une obligation de vérification, avant sa mise sur le marché, que le produit est conforme aux exigences essentielles de cybersécurité et que le fabricant a mis en place des processus de gestion des vulnérabilités suffisants. Il doit obtenir du fabricant un ensemble de documents justifiant de sa conformité. Il doit également communiquer ses coordonnées aux utilisateurs.
Le distributeur doit procéder à la vérification du marquage CE sur le produit. Il doit également s'assurer que le fabricant et l'importateur ont respecté certaines de leurs obligations au titre du Règlement. En cas de non-conformité du produit, l'importateur et le distributeur doivent informer le fabricant ainsi que les autorités de surveillance du marché.
Une mise en application fin 2027
Les manquements à leurs obligations exposent le fabricant à 15 millions d'euros ou 2,5% de son chiffre d'affaires, les importateurs et les distributeurs, à 10 millions d'euros ou 2% de leur chiffre d'affaires. La fourniture d'informations inexactes aux organismes d'évaluation et autorités de surveillance est sanctionnée par une amende pouvant atteindre 5 millions d'euros ou 1% du chiffre d'affaires. Par ailleurs, un produit jugé non conforme ou présentant un risque pourra faire l'objet de restrictions allant jusqu'au retrait du marché. Il appartient toutefois à chaque État membre de déterminer des sanctions « effectives, proportionnées et dissuasives » et de veiller à leur bonne application.
Certes le Règlement Cyberrésilience ne sera pleinement applicable que fin 2027 (3 ans après son entrée en vigueur, qui sera effective le 10 décembre 2024). Pour autant, certaines dispositions ont vocation à s'appliquer antérieurement. Il s'agit notamment des règles concernant la notification à la Commission, par les États membres, des organismes d'évaluation de la conformité qui s'appliqueront 18 mois à compter de l'entrée en vigueur du règlement et des obligations des fabricants en matière de communication d'informations au CSIRT et à l'ENISA qui s'appliqueront 21 mois à compter de l'entrée en vigueur du règlement. Et surtout, la compétitivité invite à une mise en conformité sans tarder !
Commentaire