CRA, NIS 2 : deux règlements à venir plus impactants sur la sécurité des IoT/OT

La vulnérabilité des produits numériques aux cyberattaques entraînerait un coût annuel de 5,5 milliards d’euros pour l’Europe, voici en substance le constat qu’avait dressé la Commission européenne en 2021 au préambule de la future loi CRA (Cyber Resilience Act). Rappelons que l’objectif du CRA va imposer aux fabricants, mais aussi aux importateurs et distributeurs des obligations de sécurité pour commercialiser leurs produits connectés. Qu’imposera exactement la loi ? Pour résumer, la loi demande déjà plus de Security by design, c’est-à-dire de prendre en compte la sécurité dès la conception du produit et qu’aucune faille de sécurité connue soit détectée au moment de la livraison. Ensuite, la documentation technique évaluant les cyberrisques doit être plus rigoureuse. Enfin, il y aura une obligation de fournir des mises à jour du produit pour corriger d’éventuelles failles. Tout incident devra par ailleurs être notifié à l’Enisa (European Union Agency for Cybersecurity) dans les meilleurs délais et en tout état de cause, au plus tard 24 heures après en avoir eu connaissance.

36 mois pour se préparer dès la loi adoptée

Le champ d’application du CRA concerne non seulement le matériel connecté intégrant du logiciel, mais aussi les applications qui traitent des données à distance. Aujourd’hui, nous ne connaissons pas encore le calendrier exact de la mise en œuvre de la loi et sa transposition dans chaque pays européen, mais le 12 mars dernier, le parlement européen a approuvé la loi sur la cyberrésilience avec 517 voix pour 12 contre et 78 abstentions. Par la suite, ce texte doit encore être validé par le Conseil européen pour une potentielle mise en œuvre dès cette année. Il faut toutefois savoir que dès l’application du règlement, les acteurs concernés disposeront alors de 36 mois au plus pour s’adapter aux nouvelles exigences. En outre, ce texte semble assez dissuasif au regard des sanctions potentielles. En effet, la non-conformité avec les exigences de cybersécurité établies et avec les obligations énoncées aux articles 10 et 11 fait l’objet d’une amende administrative pouvant aller jusqu’à 15 000 000 d’euros ou, si l’auteur de l’infraction est une entreprise, jusqu’à 2,5 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent. D’ores et déjà, les industriels anticipent la loi CRA. « Les spécificités de cette loi sont déjà prises en compte dans nos développements ; de toute façon, nous n’avons pas le choix, car les entreprises, notamment celles du secteur public, exigent déjà que nous soyons conformes à cette réglementation », souligne Yavor Gueorguiev, Application Delivery Manager chez Genetec France. Pour Florent Lefèvre, responsable du développement OT/IoT chez Fortinet France, si cette réglementation peut être perçue par certains comme une contrainte, elle va néanmoins inclure des processus de sécurité de base. « Avec 10 % de ces dispositifs de base, on peut réduire de 90 % la surface d’attaques, il faut savoir que les attaquants utilisent très souvent les mêmes vecteurs d’attaques. »

NIS 2, une autre directive qui concerne l'IoT

Il y aura bien sûr le Cyber Resilience Act, mais un autre règlement englobe et complète le secteur de l’IoT, c’est la directive NIS 2 (Network and Information Security) qui entrera en vigueur le 18 octobre prochain. Comme le rappelle Grégory Gatineau, Category Manager chez HPE Aruba Networking, l’article 89 de cette directive va permettre de renforcer la stratégie Zero Trust dans les entreprises concernées, bref de contrôler ainsi qui aura accès aux objets connectés. NIS 2 va aussi encourager les entreprises à introduire des mises à jour logicielles régulières et d’autres fonctions. Par rapport à NIS 1, avec NIS 2, le périmètre des entreprises concernées passe de 19 secteurs à 35. Sont entre autres concernés les administrations publiques, le secteur spatial, les fournisseurs de services numériques, les réseaux d’eaux usées et de gestion de déchets, les services postaux, l’alimentation, les fabricants de produits chimiques et pharmaceutiques, les acteurs de l’énergie, des transports, les banques et institutions financières puis la santé. De ce fait, des milliers d’entreprises vont être contraintes par la loi de rehausser le niveau de leur sécurité informatique dont certaines PME et collectivités. Cette directive vise également les prestataires IT des dites entreprises ayant un accès à toutes ces infrastructures critiques. Plus stricte, la NIS 2 oblige les acteurs à déclarer le sinistre dans les 72 heures afin de réagir au plus vite et d’annihiler la cybermenace. Tous devront se soumettre à des audits de sécurité dans le but de recevoir des recommandations et de répondre à des normes de sécurité drastiques. Là aussi, en cas de non-respect, les sanctions seront plus sévères ; elles incluent notamment des amendes administratives dont le montant peut aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires de l’entité, la responsabilité du dirigeant pouvant même être engagée.