La vulnérabilité des produits numériques aux cyberattaques entraînerait un coût annuel de 5,5 milliards d’euros pour l’Europe, voici en substance le constat qu’avait dressé la Commission européenne en 2021 au préambule de la future loi CRA (Cyber Resilience Act). Rappelons que l’objectif du CRA va imposer aux fabricants, mais aussi aux importateurs et distributeurs des obligations de sécurité pour commercialiser leurs produits connectés. Qu’imposera exactement la loi ? Pour résumer, la loi demande déjà plus de Security by design, c’est-à-dire de prendre en compte la sécurité dès la conception du produit et qu’aucune faille de sécurité connue soit détectée au moment de la livraison. Ensuite, la documentation technique évaluant les cyberrisques doit être plus rigoureuse. Enfin, il y aura une obligation de fournir des mises à jour du produit pour corriger d’éventuelles failles. Tout incident devra par ailleurs être notifié à l’Enisa (European Union Agency for Cybersecurity) dans les meilleurs délais et en tout état de cause, au plus tard 24 heures après en avoir eu connaissance.
36 mois pour se préparer dès la loi adoptée
Le champ d’application du CRA concerne non seulement le matériel connecté intégrant du logiciel, mais aussi les applications qui traitent des données à distance. Aujourd’hui, nous ne connaissons pas encore le calendrier exact de la mise en œuvre de la loi et sa transposition dans chaque pays européen, mais le 12 mars dernier, le parlement européen a approuvé la loi sur la cyberrésilience avec 517 voix pour 12 contre et 78 abstentions. Par la suite, ce texte doit encore être validé par le Conseil européen pour une potentielle mise en œuvre dès cette année. Il faut toutefois savoir que dès l’application du règlement, les acteurs concernés disposeront alors de 36 mois au plus pour s’adapter aux nouvelles exigences. En outre, ce texte semble assez dissuasif au regard des sanctions potentielles. En effet, la non-conformité avec les exigences de cybersécurité établies et avec les obligations énoncées aux articles 10 et 11 fait l’objet d’une amende administrative pouvant aller jusqu’à 15 000 000 d’euros ou, si l’auteur de l’infraction est une entreprise, jusqu’à 2,5 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent. D’ores et déjà, les industriels anticipent la loi CRA. « Les spécificités de cette loi sont déjà prises en compte dans nos développements ; de toute façon, nous n’avons pas le choix, car les entreprises, notamment celles du secteur public, exigent déjà que nous soyons conformes à cette réglementation », souligne Yavor Gueorguiev, Application Delivery Manager chez Genetec France. Pour Florent Lefèvre, responsable du développement OT/IoT chez Fortinet France, si cette réglementation peut être perçue par certains comme une contrainte, elle va néanmoins inclure des processus de sécurité de base. « Avec 10 % de ces dispositifs de base, on peut réduire de 90 % la surface d’attaques, il faut savoir que les attaquants utilisent très souvent les mêmes vecteurs d’attaques. »
Commentaire