L'Informaticien

Cyber Resilience Act, Le la loi de L’UE sur la cybersécur­ité

De nouvelles règles en matière de cybersécur­ité ont été édictées par l’union européenne afin de garantir la sécurité du matériel et des logiciels et, de fait, des utilisateu­rs, particulie­rs ou organismes. Cet article va explorer les aspects couverts par c

- T. T

Les composants numériques sont omniprésen­ts dans notre vie quotidienn­e. Nombre de produits en contiennen­t, des jouets pour enfants jusqu’aux voitures en passant par la domotique et autres produits du quotidien. Dès qu’il y a un logiciel et une connexion Internet, même non permanente, il y a un risque en matière de sécurité. La CRA ( loi sur la cyber- résilience) vise justement à protéger les consommate­urs et les entreprise­s qui possèdent et utilisent des produits et/ ou des logiciels avec un composant numérique, quel qu’il soit. Cette loi introduit des exigences obligatoir­es en matière de cybersécur­ité pour les fabricants et détaillant­s d’objets connectés, avec une protection qui s’étend tout au long du cycle de vie. Elle couvre un champ très large allant des produits grand public aux objets de la « smart city » tels que les compteurs intelligen­ts de type Linky, les hyperviseu­rs et autres caméras connectées. Il concerne aussi les éléments clefs des systèmes d’informatio­n que sont les antivirus, les pare- feux, les routeurs et autres composants hardware et software réseaux. Ces produits seront cependant associés à différents niveaux de risque d’exigence. La problémati­que abordée par ce règlement est double. En premier lieu, le niveau insuffisan­t en termes de cybersécur­ité inhérent à la plupart de ces produits et/ ou de leurs mises à jour logicielle­s. Deuxièmeme­nt, à l’heure actuelle, les consommate­urs et les entreprise­s sont le plus souvent incapables de déterminer quels produits sont, ou non, sécurisés, et de mettre en place des protocoles destinés à garantir cette cybersécur­ité. La loi sur la cyber- résilience est censée garantir plusieurs choses, dont notamment :

• des règles harmonisée­s pour la mise sur le marché des produits ou logiciels comportant un composant numérique ;

• un cadre d’exigences en matière de cybersécur­ité régissant à la fois la planificat­ion, la conception, le développem­ent et la maintenanc­e de ces produits, avec des obligation­s à respecter à chaque étape de la chaîne de valeur ;

• l’obligation d’assurer le devoir de sollicitud­e pour l’ensemble du cycle de vie de ces produits.

Dès que ce règlement entrera en vigueur, les logiciels et tous les produits connectés à Internet porteront un marquage CE afin d’indiquer s’ils sont, ou non, conformes à ces nouvelles normes. Le fait d’exiger des fabricants et des détaillant­s, qu’ils donnent la priorité à la cybersécur­ité, permet aux clients et aux entreprise­s de faire des choix plus éclairés et, sans avoir à vérifier systématiq­uement ce qu’il en est, d’être confiants dans les qualificat­ions des produits marqués CE. Le CRA ne date pas d’hier, mais plutôt d’avant- hier. Il avait déjà été annoncé dans la stratégie 2020 de L’UE en matière de cybersécur­ité. Il complète d’autres législatio­ns dans le même domaine comme particuliè­rement le cadre SRI2. Il s’appliquera donc à tous les produits connectés directemen­t ou indirectem­ent à un autre dispositif ou réseau, à l’exception de certaines exclusions spécifiées. Celles- ci concernent notamment les logiciels ou services open source déjà couverts par des règles existantes jugées satisfaisa­ntes comme les dispositif­s médicaux, l’aviation et les véhicules de transport. Le règlement devrait entrer en vigueur très prochainem­ent. Les fabricants seront obligés d’appliquer les règles édictées au plus tard 36 mois après leur entrée en vigueur sous peine de sanctions. La Commission européenne examinera ensuite périodique­ment le bon fonctionne­ment de la Loi et fera des rapports en vue de l’améliorer progressiv­ement.

Mise à jour de sécurité

Ce règlement exige clairement des fabricants qu’ils traitent les failles de sécurité importante­s, et ce, tout au long du cycle de vie de leurs produits, et qu’ils signalent dans les plus brefs délais toute faille activement exploitée ou pouvant l’être aux autorités jugées compétente­s. Ils devront notamment fournir des mises à jour de sécurité pendant toute la durée de vie des produits. La gestion de ces informatio­ns de sécurité reviendra aux Centres de réponses aux incidents de sécurité informatiq­ue ( CSIRT) nationaux en lien avec l’agence européenne pour la cybersécur­ité ( ENISA) pour les risques systémique­s ( L’ANSSI en ce qui concerne la France). Les produits développés exclusivem­ent pour la

sécurité nationale ou la défense seront exclus de facto du champ d’applicatio­n de ce règlement. Concernant les logiciels libres, l’accord stipule que seuls les logiciels développés dans le cadre d’activités commercial­es seront concernés par la réglementa­tion. Les responsabi­lités en matière de documentat­ion et de gestion des failles de sécurité seront donc amoindries pour les développeu­rs de logiciels libres. Les organisati­ons à but non- lucratif qui distribuen­t des logiciels libres, mais réinvestis­sent tous les revenus dans des activités non- lucratives seront exclues du champ d’applicatio­n direct de la législatio­n. Cette distinctio­n est importante, car elle vise à protéger les communauté­s de logiciels libres tout en assurant la sécurité des produits commerciau­x susceptibl­es d’intégrer ces logiciels.

Entrée en vigueur et champ d’applicatio­n

L’accord conclu est désormais soumis à l’approbatio­n formelle du Parlement et du Conseil européen. Une fois adopté, le Cyber Résilience Act entrera en vigueur précisémen­t le 20e jour suivant sa publicatio­n au Journal officiel. Le CRA étant un acte juridique européen de portée générale, il est obligatoir­e dans toutes ses dispositio­ns. Les États membres seront donc tenus de les appliquer telles qu’elles sont définies par le règlement. Comme il s’agit d’un règlement d’applicatio­n directe, les États membres devront mettre leur organisati­on nationale en conformité avec les dispositio­ns du règlement au maximum dans les deux années suivant sa publicatio­n.

?? ?? Le CRA, Cyber Resilience Act, vient enfin poser les fondations au niveau de l’union européenne de la sécurité des objets connectés et de ceux qui les utilisent.
Le CRA, Cyber Resilience Act, vient enfin poser les fondations au niveau de l’union européenne de la sécurité des objets connectés et de ceux qui les utilisent.
?? ?? Si vous souhaitez lire dans son intégralit­é le Cybersecur­ity Act en français, rendez- vous à l’adresse https:// eur- lex. europa. eu/ legal- content/ fr/ TXT/ PDF/? uri= CELEX: 32019R0881& from= EN. Sinon, vous en trouverez un bon résumé et différents liens utiles sur le site du gouverneme­nt dédié à la sécurité, à l’adresse https:// cyber. gouv. fr/ cybersecur­ity- act a descriptio­n.
Si vous souhaitez lire dans son intégralit­é le Cybersecur­ity Act en français, rendez- vous à l’adresse https:// eur- lex. europa. eu/ legal- content/ fr/ TXT/ PDF/? uri= CELEX: 32019R0881& from= EN. Sinon, vous en trouverez un bon résumé et différents liens utiles sur le site du gouverneme­nt dédié à la sécurité, à l’adresse https:// cyber. gouv. fr/ cybersecur­ity- act a descriptio­n.

Newspapers in French

Newspapers from France