Avec le Cyber ​​Flexibility Act, l’Union européenne veut serrer la vis sur la cybersécurité

A travers le Cyber ​​Flexibility Act, la Commission entend imposer plusieurs règles aux fabricants et éditeurs de produits connectés en matière de sécurité des données. Elle espère ainsi se prémunir contre la multiplication des pannes de ces produits apparues dans la vie quotidienne depuis le début des années 2000.

Comme, par exemple, de nombreuses caméras de surveillance connectées dont les failles de sécurité sont souvent pointées du doigt par les chercheurs en sécurité et exploitées par les cybercriminels. Ou encore certains jeux connectés dont les fabricants ont été alertés par la Commission nationale de l’informatique et des libertés (CNIL) face aux risques d’espionnage pour les enfants.

Mais la loi sur la cyber-résilience est large : la proposition de la commission vise à fixer des règles communes pour tous produits numériques, définition large allant du matériel au logiciel. Toutefois, le texte prévoit quelques exceptions, laissant de côté par exemple les dispositifs spécifiques au monde médical ou ceux destinés au secteur aéronautique, qui sont déjà couverts par d’autres réglementations européennes.

Lire aussi : Ce qu’il faut retenir du discours d’Ursula von der Leyen sur l’état de l’Union européenne : création d’une banque publique de l’hydrogène, Ukraine…

Les services en ligne sont également exclus de la réglementation à condition qu’ils ne soient pas directement liés à un produit. Ainsi, les programmes de type messagerie instantanée et autres programmes fournis en tant que service en ligne ne sont pas concernés. Mais l’Electronic Flexibility Act comme l’exige la Commission européenne a l’ambition de réglementer tout le reste : des smartphones aux processeurs en passant par les systèmes d’exploitation ou les navigateurs.

Comme le résume Thierry Breton, commissaire au marché intérieur : « Ordinateurs, téléphones, appareils électroménagers, assistants virtuels, voitures, jeux… chacun de ces centaines de millions de produits connectés peut servir de porte d’entrée à une cyberattaque. Jusqu’à présent, la plupart des produits matériels et logiciels ne sont soumis à aucune exigence de cybersécurité. En introduisant la cybersécurité dès la conception, le Cyber ​​Flexibility Act contribuera à protéger l’économie européenne et la sécurité de tous. »

Chaque produit a sa propre catégorie

Le texte présenté par la Commission détaille une première série d’obligations qui s’appliquent à tous les produits ainsi identifiés, puis distingue une seconde catégorie de produits considérés comme « critiques », qui, selon les auteurs du texte, représentent 10 % de l’ensemble des postes concernés par le règlement. . Dans cette même catégorie, divisée en deux “catégories” selon le niveau d’importance, on trouve que les outils jouent un rôle central dans la sécurité des réseaux ou ceux dont les failles de sécurité font peser une menace sur un grand nombre de personnes.

La commission donne une liste de produits inclus dans cette catégorie, qui doivent répondre à des exigences supplémentaires. Dans la catégorie 1, on trouve par exemple des logiciels antivirus, des gestionnaires de mots de passe ou encore des VPN. La catégorie 2 regroupe les systèmes d’exploitation pour ordinateurs, smartphones, serveurs, objets connectés et routeurs pour le monde industriel, ainsi que les logiciels indispensables à la gestion des services cloud ( Hyperviseurs). L’autorité se réserve le droit de modifier la liste des appareils et services concernés par la réglementation.

Pour tous les produits, le texte fournit deux mesures principales : les fabricants doivent tenir compte de la sécurité matérielle ou logicielle dans leur conception, et ils ne doivent pas proposer de produits présentant des vulnérabilités connues. D’autres mesures, telles que le déploiement d’un cryptage pour protéger la confidentialité des données, peuvent être appliquées en fonction de l’évaluation des risques effectuée par le fabricant ou un tiers.

Les fabricants ne doivent pas expédier de produits présentant des vulnérabilités connues

Parmi les obligations énumérées, le texte cherche à clarifier la documentation accompagnant les produits : ils doivent être accompagnés d’informations claires concernant leur sécurité, le support technique fourni par le fournisseur ou l’installation de mises à jour de sécurité. Le Cyber ​​Resilience Act comprend également certaines dispositions pour s’assurer que les fabricants diffusent des correctifs de sécurité pendant au moins cinq ans, ainsi que pour mettre en place des procédures de gestion des vulnérabilités conformément aux directives de la Commission européenne.

Des amendes jusqu’à 15 millions d’euros

Des restrictions supplémentaires sont prévues pour les produits de la catégorie “Critique”. : Contrairement à la majorité des produits couverts par le règlement, ces produits devront démontrer leur conformité à une norme existante ou avoir été contrôlés par un organisme tiers désigné par chaque État membre. De plus, les fabricants seront tenus de signaler les nouvelles vulnérabilités découvertes dans ces produits et activement exploitées par des cybercriminels à l’Agence de l’Union européenne pour la cybersécurité (Enisa) dans les 24 heures.

La Commission confie aux États membres la tâche de nommer des chiens de garde du marché, qui sont chargés de vérifier la conformité des organisations et des produits avec la nouvelle réglementation. En cas d’infraction, le texte prévoit des amendes pouvant aller jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires de l’entreprise contrevenante, ainsi que la possibilité d’interdire la commercialisation d’un produit sur le territoire européen.

Lire aussi Cet article est réservé à nos abonnés Bruxelles propose un “bouclier européen” contre les cyberattaques

La proposition de la Commission est la première étape du parcours législatif européen du texte. Cela doit avoir l’approbation du Parlement européen, ainsi que l’approbation du Conseil de l’Union européenne. Les trois devront alors négocier pour s’entendre sur un texte final. Par conséquent, de nombreux détails peuvent changer entre la proposition initiale de la commission et le texte final qui sera adopté. En règle générale, le texte ne prévoit pas de transposition au droit français et s’appliquera de la même manière dans tous les États membres de l’UE. Une fois approuvés, les entreprises et les États membres “Elle aura deux ans pour s’adapter aux nouvelles exigences.”confirme au comité.

Leave a Reply

Your email address will not be published.

Previous post Renault Austral annonce les tarifs, les offres LOA et les détails de finition
Next post “Je m’en fous”: le choix radical de Florence Foresti dans sa carrière