Cyber Resilience Act, Le la loi de L’UE sur la cybersécurité
De nouvelles règles en matière de cybersécurité ont été édictées par l’union européenne afin de garantir la sécurité du matériel et des logiciels et, de fait, des utilisateurs, particuliers ou organismes. Cet article va explorer les aspects couverts par c
Les composants numériques sont omniprésents dans notre vie quotidienne. Nombre de produits en contiennent, des jouets pour enfants jusqu’aux voitures en passant par la domotique et autres produits du quotidien. Dès qu’il y a un logiciel et une connexion Internet, même non permanente, il y a un risque en matière de sécurité. La CRA ( loi sur la cyber- résilience) vise justement à protéger les consommateurs et les entreprises qui possèdent et utilisent des produits et/ ou des logiciels avec un composant numérique, quel qu’il soit. Cette loi introduit des exigences obligatoires en matière de cybersécurité pour les fabricants et détaillants d’objets connectés, avec une protection qui s’étend tout au long du cycle de vie. Elle couvre un champ très large allant des produits grand public aux objets de la « smart city » tels que les compteurs intelligents de type Linky, les hyperviseurs et autres caméras connectées. Il concerne aussi les éléments clefs des systèmes d’information que sont les antivirus, les pare- feux, les routeurs et autres composants hardware et software réseaux. Ces produits seront cependant associés à différents niveaux de risque d’exigence. La problématique abordée par ce règlement est double. En premier lieu, le niveau insuffisant en termes de cybersécurité inhérent à la plupart de ces produits et/ ou de leurs mises à jour logicielles. Deuxièmement, à l’heure actuelle, les consommateurs et les entreprises sont le plus souvent incapables de déterminer quels produits sont, ou non, sécurisés, et de mettre en place des protocoles destinés à garantir cette cybersécurité. La loi sur la cyber- résilience est censée garantir plusieurs choses, dont notamment :
• des règles harmonisées pour la mise sur le marché des produits ou logiciels comportant un composant numérique ;
• un cadre d’exigences en matière de cybersécurité régissant à la fois la planification, la conception, le développement et la maintenance de ces produits, avec des obligations à respecter à chaque étape de la chaîne de valeur ;
• l’obligation d’assurer le devoir de sollicitude pour l’ensemble du cycle de vie de ces produits.
Dès que ce règlement entrera en vigueur, les logiciels et tous les produits connectés à Internet porteront un marquage CE afin d’indiquer s’ils sont, ou non, conformes à ces nouvelles normes. Le fait d’exiger des fabricants et des détaillants, qu’ils donnent la priorité à la cybersécurité, permet aux clients et aux entreprises de faire des choix plus éclairés et, sans avoir à vérifier systématiquement ce qu’il en est, d’être confiants dans les qualifications des produits marqués CE. Le CRA ne date pas d’hier, mais plutôt d’avant- hier. Il avait déjà été annoncé dans la stratégie 2020 de L’UE en matière de cybersécurité. Il complète d’autres législations dans le même domaine comme particulièrement le cadre SRI2. Il s’appliquera donc à tous les produits connectés directement ou indirectement à un autre dispositif ou réseau, à l’exception de certaines exclusions spécifiées. Celles- ci concernent notamment les logiciels ou services open source déjà couverts par des règles existantes jugées satisfaisantes comme les dispositifs médicaux, l’aviation et les véhicules de transport. Le règlement devrait entrer en vigueur très prochainement. Les fabricants seront obligés d’appliquer les règles édictées au plus tard 36 mois après leur entrée en vigueur sous peine de sanctions. La Commission européenne examinera ensuite périodiquement le bon fonctionnement de la Loi et fera des rapports en vue de l’améliorer progressivement.
Mise à jour de sécurité
Ce règlement exige clairement des fabricants qu’ils traitent les failles de sécurité importantes, et ce, tout au long du cycle de vie de leurs produits, et qu’ils signalent dans les plus brefs délais toute faille activement exploitée ou pouvant l’être aux autorités jugées compétentes. Ils devront notamment fournir des mises à jour de sécurité pendant toute la durée de vie des produits. La gestion de ces informations de sécurité reviendra aux Centres de réponses aux incidents de sécurité informatique ( CSIRT) nationaux en lien avec l’agence européenne pour la cybersécurité ( ENISA) pour les risques systémiques ( L’ANSSI en ce qui concerne la France). Les produits développés exclusivement pour la
sécurité nationale ou la défense seront exclus de facto du champ d’application de ce règlement. Concernant les logiciels libres, l’accord stipule que seuls les logiciels développés dans le cadre d’activités commerciales seront concernés par la réglementation. Les responsabilités en matière de documentation et de gestion des failles de sécurité seront donc amoindries pour les développeurs de logiciels libres. Les organisations à but non- lucratif qui distribuent des logiciels libres, mais réinvestissent tous les revenus dans des activités non- lucratives seront exclues du champ d’application direct de la législation. Cette distinction est importante, car elle vise à protéger les communautés de logiciels libres tout en assurant la sécurité des produits commerciaux susceptibles d’intégrer ces logiciels.
Entrée en vigueur et champ d’application
L’accord conclu est désormais soumis à l’approbation formelle du Parlement et du Conseil européen. Une fois adopté, le Cyber Résilience Act entrera en vigueur précisément le 20e jour suivant sa publication au Journal officiel. Le CRA étant un acte juridique européen de portée générale, il est obligatoire dans toutes ses dispositions. Les États membres seront donc tenus de les appliquer telles qu’elles sont définies par le règlement. Comme il s’agit d’un règlement d’application directe, les États membres devront mettre leur organisation nationale en conformité avec les dispositions du règlement au maximum dans les deux années suivant sa publication.