Responsabiliser les fabricants dans la cybersécurité
Le 15 septembre 2022, la Commission européenne a présenté le Cyber Resilience Act (CRA) « pour protéger les consommateurs et les entreprises qui achètent ou utilisent des produits à composante numérique ou des logiciels ». Le 10 octobre 2024, le Conseil de l’Union européenne a officiellement adopté cette loi, marquant une avancée cruciale dans la sécurité des produits numériques, y compris les appareils IoT. Entre ces deux dates, une montée en puissance des cyberattaques dans un monde de plus en plus interconnecté et numérisé.
Une enquête révèle que 48 % des fabricants (OEM) estiment être en partie responsables des attaques ciblant leurs produits. En réponse, le CRA impose des exigences strictes de sécurité pour l’ensemble du cycle de vie des produits connectés, dès leur conception jusqu’à leur fin de vie. Cette réglementation vise tous les acteurs de la chaîne d’approvisionnement, incluant les fabricants, distributeurs, importateurs, et même les utilisateurs, les obligeant à intégrer des mesures de sécurité robustes et à fournir une documentation complète sur l’analyse des risques pour chaque produit. En cas de failles de sécurité, les entreprises sont tenues d’aviser l’ENISA (Agence de l’UE pour la cybersécurité) et de corriger les vulnérabilités à leurs frais.
À partir de 2027, les produits devront arborer le marquage CE, gage de conformité aux nouvelles normes de cybersécurité, pour être vendus en Europe. Les entreprises risquent des sanctions sévères en cas de non-conformité, avec des amendes allant jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel. Cette règle s’applique à une large gamme de produits, comme les compteurs d’eau et d’électricité, les appareils industriels, et les bornes de recharge de véhicules électriques. Certaines industries déjà très réglementées (automobile, médicale, aérienne) sont toutefois exemptées.
Pour se conformer au CRA, les entreprises doivent adopter des pratiques de sécurité de pointe, telles que l’infrastructure à clé publique (PKI), le secure boot, la mise à jour sécurisée à distance, et la création d’une Software Bill of Materials (SBOM) pour suivre les vulnérabilités logicielles. En appliquant ces mesures, le CRA pose les bases d’un modèle de cybersécurité que d’autres régions pourraient également suivre.
Inscrivez-vous à notre newsletter DDET (Des Données et des Territoires), le média qui synthétise l’actualité du numérique et des données, produit par les praticiens de la transformation numérique.