La Commission européenne vient de présenter ce jeudi 15 septembre une proposition législative pour renforcer la sécurité informatique des produits numériques, qu’ils soient matériels ou logiciels. Ce texte, qui embrasse un champ large, doit compléter la directive NIS 2 sans empiéter sur son périmètre, les logiciels SaaS n’étant par exemple pas couverts. Mais surtout, il doit permettre de s’attaquer au problème aigu de la vulnérabilité des objets connectés.
As the largest digital single market in the world, it is our responsibility to #protect our consumers & companies against cyber attacks 🇪🇺
From now on, any connected device, app or software on our EU market will have to be “#CyberSafe by design” https://t.co/kdphmYpKTa pic.twitter.com/biS30lKkNj
— Thierry Breton (@ThierryBreton) September 15, 2022
Des caméras de vidéosurveillance trop vulnérables aux pompes à essence en passant par les réfrigérateurs, les exemples de problèmes de sécurité informatique affectant des objets connectés sont malheureusement bien connus. Que ce soit pour des raisons de coûts ou par méconnaissance du sujet, les fabricants de ces produits font encore trop souvent l’impasse sur la cybersécurité. Au risque que leurs machines ne livrent trop facilement de précieuses données personnelles à des hackers malveillants ou qu’elles servent d’appui à d’autres attaques informatiques.
Des « garanties solides » pour les consommateurs
Annoncée il y a plus d’un an par la présidente Ursula von der Leyen, la proposition législative doit désormais être étudiée par le Parlement européen et le Conseil de l’Union européenne. Avec ce texte, qui doit uniformiser la réglementation à l’échelle européenne, les consommateurs pourront avoir « l’assurance que les objets et les logiciels connectés que nous achetons offrent des garanties solides en matière de cybersécurité », assure Margrethe Vestager, vice-présidente en charge du numérique à la Commission.
« La plupart des produits matériels et logiciels ne sont soumis à aucune obligation en matière de cybersécurité », note également le commissaire européen Thierry Breton. « En introduisant la cybersécurité dès la conception », le texte proposé par la Commission doit contribuer « à protéger l’économie européenne », ajoute-t-il, citant des exemples allant des ordinateurs aux téléphones, en passant par les appareils ménagers, les dispositifs d’assistance virtuels, les voitures et les jouets.
Deux segments
Un périmètre large divisé en deux segments par la Commission européenne. Tout d’abord, l’essentiel (90 %) des produits numériques visés, par exemple une enceinte connectée, un disque dur ou un jeu, relèveront d’un régime d’auto-évaluation. Ensuite, les 10 % des produits les plus critiques, comme un gestionnaire de mots de passe, un pare-feu, ou un système d’exploitation, devront être évalués par des tiers ou une agence nationale.
Concrètement, le nouveau texte va permettre d’introduire des obligations en matière de cybersécurité auprès des fabricants, incités par exemple à lancer des programmes de bug bounty. La réforme préconise également de mettre en place des obligations de suivi, au moins pendant cinq ans, pour la gestion des vulnérabilités. Ce qui passera par exemple par le signalement des vulnérabilités actives ou corrigées, ainsi que celui des incidents constatés. La Commission européenne veut également imposer des mises à jour à mettre à disposition pendant au moins cinq ans.
De nouvelles missions pour l’Enisa
L’Agence européenne de cybersécurité, l’Enisa, devrait être mise à contribution, notamment en recueillant les signalements des fabricants ou en procédant à des évaluations de la sécurité de produits numériques. L’Enisa sera d’ailleurs également chargée de rédiger tous les deux ans un rapport technique sur les tendances émergentes en matière de cybersécurité.
Le texte de la Commission européenne prévoit enfin d’améliorer l’information des consommateurs. Le manque de transparence actuel « les empêche de choisir des produits possédant des propriétés adéquates en matière de cybersécurité ou de les utiliser de manière sécurisée », regrette l’exécutif communautaire.
Sanctions jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial
Pour faire respecter ces futures obligations, la Commission européenne table sur des sanctions administratives pouvant aller jusqu’à 15 millions d’euros ou jusqu’à 2,5 % du chiffre d’affaires annuel mondial pour le régime de pénalités le plus élevé. Le non-respect des futures obligations pourrait également entraîner l’interdiction des produits visés dans le marché unique européen.
La Commission européenne estime que ces nouvelles obligations devraient peser jusqu’à 29 milliards d’euros. Un montant à comparer à la réduction attendue du coût des cyberincidents, estimé lui dans une fourchette de 180 à 290 milliards d’euros. Pour l’exécutif communautaire, ces obligations pourraient également devenir par la suite un avantage compétitif pour les fabricants européens à l’exportation.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));