Le Cyber Resilience Act (CRA) : une nouvelle ère pour la sécurité des objets connectés en Europe
Vous souvenez-vous de la scène de Fast And Furious 8 ? Celle du piratage et du contrôle à distance par Cypher (interprétée par Charlize Theron) de centaines de voitures dans les rues de New York ? Cette scène de fiction en 2017 est devenue une réalité en 2024, lorsque deux chercheurs en cybersécurité ont réussi, bien que de manière moins spectaculaire, à prendre le contrôle d’une Tesla à distance. Afin de répondre aux défis sécuritaires posés par la multiplication des objets connectés, le Parlement européen a adopté le CRA (Cyber Resilience Act, Règlement UE 2024/2847). Nous allons voir ensemble les enjeux et l’impact du CRA notamment sur les fabricants d’objets connectés.
Qu’est-ce que le Cyber Resilience Act ?
Vous avez sans doute déjà entendu parler de l’internet des objets, ces appareils qui nous entourent et qui sont connectés à internet : votre thermostat, votre voiture, votre réfrigérateur… Pratique, n’est-ce pas ? Mais saviez-vous que ces objets, aussi inoffensifs qu’ils puissent paraître, peuvent devenir des portes d’entrée pour les cybercriminels ?
Le Cyber Resilience Act (Règlement (UE) 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024) est né du constat du faible niveau de sécurité que présentent les objets connectés du quotidien et des faibles mises à jour de sécurité dont ils bénéficient créant une nécessité de renforcer notre défense numérique. Ce nouveau règlement vise à imposer des normes de sécurité plus élevées aux produits connectés, de l’humble thermostat à l’équipement industriel le plus sophistiqué.
Quels sont les objectifs de ce règlement ?
Tout d’abord, il s’agit de réduire les vulnérabilités de ces produits. En clair, les fabricants devront concevoir des produits plus sécurisés dès le départ, pour limiter les risques d’attaques. Ensuite, le règlement vise à responsabiliser les fabricants en leur imposant des obligations plus strictes en matière de sécurité. Les consommateurs, eux, seront mieux protégés grâce à un accès plus transparent aux informations sur la sécurité des produits. Enfin, en harmonisant les règles au niveau européen, le Cyber Resilience Act contribue à renforcer le marché intérieur et à créer un environnement numérique plus sûr pour tous.
À quels produits s’applique ce règlement ?
La portée du Cyber Resilience Act est très large. Il concerne tous les produits qui contiennent un élément numérique, des logiciels aux appareils connectés en passant par les équipements industriels. Votre smartphone, votre ordinateur portable, votre montre connectée, mais aussi les systèmes de contrôle d’une usine ou d’un hôpital : tous sont concernés par ce nouveau règlement.
Cela implique de nouveaux enjeux sur l’ensemble de la chaine d’approvisionnement.
Les enjeux du Cyber Resilience Act
Pour les fabricants :
Le Cyber Resilience Act impose de nouvelles obligations aux fabricants, transformant en profondeur leurs pratiques.
Tout d’abord, la conception et la fabrication des produits doivent désormais intégrer des mesures de sécurité robustes. Chaque produit doit être conçu pour résister aux cyberattaques, ce qui implique une analyse approfondie des risques dès les premières étapes de développement. Cette analyse doit être documentée et servir de base à l’évaluation de la sécurité du produit.
En cas d’incident de sécurité, les fabricants sont tenus de mettre en œuvre des procédures de gestion des incidents efficaces et de notifier rapidement les autorités compétentes. Par ailleurs, ils doivent s’assurer que leurs produits peuvent être mis à jour régulièrement afin de corriger les vulnérabilités découvertes et de maintenir un niveau de sécurité optimal. Enfin, les fabricants doivent fournir aux consommateurs des informations claires et transparentes sur les mesures de sécurité mises en place.
Pour renforcer le suivi et le contrôle, le règlement impose un enregistrement obligatoire des produits dans une base de données européenne. Cet enregistrement permettra aux autorités de mieux suivre le cycle de vie des produits et d’identifier rapidement les éventuelles non-conformités.
Le non-respect de ces obligations peut entraîner de sévères sanctions financières. Les États membres de l’Union Européenne sont tenus de mettre en place des régimes de sanctions dissuasifs pour inciter les fabricants à se conformer au règlement.
Ces nouvelles exigences ont des conséquences directes pour les entreprises. La mise en conformité avec le Cyber Resilience Act représente un investissement important en termes de temps, de ressources et d’argent, notamment pour les petites et moyennes entreprises. De plus, la responsabilité des fabricants s’en trouve accrue, puisqu’ils sont désormais tenus de garantir la sécurité de leurs produits tout au long de leur cycle de vie.
En somme, le Cyber Resilience Act marque un tournant dans la manière dont les produits connectés sont conçus et mis sur le marché. En renforçant les obligations des fabricants, ce règlement vise à améliorer la sécurité numérique de tous et à protéger les consommateurs contre les cybermenaces.
Pour les consommateurs :
Le Cyber Resilience Act place le consommateur au cœur de ses préoccupations en renforçant ses droits et en améliorant la sécurité des produits numériques.
Les consommateurs ont désormais un droit à recevoir les mises à jour logicielles essentielles pour maintenir leurs appareils sécurisés et conformes aux dernières normes durant la période d’assistance. Ce droit leur permet de bénéficier d’une protection continue contre les cybermenaces, tout en préservant la performance de leurs produits. Cette évolution se traduit notamment par l’obligation d’annoncer lors de la commercialisation par le fabricant de la durée de cette période d’assistance pour permettre un choix éclairé du consommateur.
Cette pratique est observée, hors cadre légal, notamment dans la commercialisation des smartphones, en effet sans attendre cette législation Samsung et Google ont, en 2024, usé comme argument marketing du support logiciel de leur flagship pour une durée de 7 ans.
En s’ajoutant aux outils en place tels que les audits de cybersécurité et les cyberscores, ces nouvelles règles permettent aux consommateurs d’évaluer facilement le niveau de sécurité des produits qu’ils souhaitent acquérir.
Le Cyber Resilience Act a pour objectif de renforcer la confiance des consommateurs dans le numérique en leur offrant davantage de support lors du cycle de vie des produits numériques qu’ils utilisent et en améliorant la sécurité de ces produits.
Pour les États membres :
Le Cyber Resilience Act représente une avancée majeure pour les États membres de l’Union européenne. En harmonisant les règles au niveau européen, il crée un cadre commun pour renforcer la sécurité numérique et protéger les citoyens et les entreprises.
Renforcement de la résilience des infrastructures critiques
En imposant des normes de sécurité élevées aux produits et services numériques, le Cyber Resilience Act contribue à renforcer la résilience des infrastructures critiques. Ces infrastructures, telles que les réseaux électriques, les systèmes de transport ou les hôpitaux, sont des éléments essentiels de notre société moderne. En les protégeant contre les cyberattaques, le règlement garantit la continuité des services essentiels et limite les impacts économiques et sociaux d’éventuelles disruptions.
Protection des citoyens et des entreprises
Le Cyber Resilience Act a pour objectif premier de protéger les citoyens et les entreprises contre les cybermenaces. En renforçant la sécurité des produits numériques, en favorisant la transparence et en donnant aux consommateurs plus de contrôle sur leurs données, le règlement contribue à renforcer la confiance dans le numérique. Les entreprises bénéficieront également d’une meilleure protection de leurs actifs numériques et de leur réputation.
Impact et perspective du Cyber Resilience Act :
Le Cyber Resilience Act soulève de nombreux défis et ouvre des perspectives prometteuses pour l’avenir de la cybersécurité.
La mise en œuvre effective de ce règlement représente un défi majeur. Les entreprises, en particulier les plus petites, devront investir des ressources considérables pour se conformer aux nouvelles exigences. Cela implique une adaptation profonde de leurs processus, de leurs systèmes et de leurs cultures d’entreprise. De plus, le paysage des cybermenaces est en constante évolution, ce qui rend la tâche de rester constamment à jour particulièrement complexe.
Néanmoins, le Cyber Resilience Act ouvre également de nouvelles perspectives. Il est probable que ce règlement ne soit qu’une première étape vers un renforcement progressif de la législation européenne en matière de cybersécurité. On peut s’attendre à de nouvelles initiatives visant à combler les éventuelles lacunes et à adapter le cadre réglementaire aux évolutions technologiques. Par ailleurs, le Cyber Resilience Act est appelé à converger avec d’autres réglementations existantes, telles que le RGPD (Règlement général sur la protection des données) et le NIS2 (Directive sur la sécurité des réseaux et des systèmes d’information), afin de créer un cadre réglementaire plus cohérent et plus efficace.
Le Cabinet BUEDER AVOCAT intervient notamment dans le domaine du numérique et des technologies de l’information et de la communication. Si vous avez des projets de mise en conformité, n’hésitez pas à nous contacter.