Avec le Cyber Resilience Act, la Commission entend imposer plusieurs règles aux fabricants et éditeurs de produits connectés en matière de sécurité des données. Elle espère ainsi prémunir notamment contre la multiplication des défaillances de ces produits apparus dans la vie quotidienne depuis le début des années 2010.
A l’instar, par exemple, des nombreuses caméras de surveillance connectées dont les failles de sécurité sont fréquemment pointées du doigt par les chercheurs en sécurité et exploitées par les cybercriminels. Ou encore certains jouets connectés dont le fabricant a été mis en demeure par la Commission nationale de l’informatique et des libertés (CNIL) face aux risques d’espionnage auxquels ils exposent les enfants.
Mais le Cyber Resilience Act vise large : la proposition de la Commission vise à établir des règles communes pour l’ensemble des « produits comportant des éléments numériques », une définition large allant des dispositifs matériels aux logiciels. Quelques exceptions sont néanmoins prévues par le texte, qui laisse par exemple de côté les appareils du monde médical ou ceux destinés au secteur de l’aéronautique, déjà couverts par d’autres réglementations européennes.
Les services en ligne sont également exclus des régulations prévues dès lors qu’ils ne sont pas directement liés à un produit. Ainsi les logiciels de type messagerie instantanée et autres logiciels proposés en tant que service en ligne ne sont pas concernés. Mais le Cyber Resilience Act tel que voulu par la Commission européenne a l’ambition d’encadrer tout le reste : des smartphones aux processeurs en passant par les systèmes d’exploitation ou les navigateurs.
Comme le résume Thierry Breton, commissaire au marché intérieur : « Les ordinateurs, les téléphones, les appareils ménagers, les dispositifs d’assistance virtuels, les voitures, les jouets… chacun de ces centaines de millions de produits connectés peut servir de porte d’entrée à une cyberattaque. Pourtant, aujourd’hui, la plupart des produits matériels et logiciels ne sont soumis à aucune obligation en matière de cybersécurité. En introduisant la cybersécurité dès la conception, l’acte législatif sur la cyber-résilience contribuera à protéger l’économie européenne et la sécurité de tous. »
A chaque produit sa catégorie
Le texte présenté par la Commission détaille une première série d’obligations s’appliquant à l’ensemble des produits ainsi définis, puis distingue une deuxième catégorie de produits considérés comme « critiques », qui représentent, selon les auteurs du texte, 10 % de l’ensemble des objets concernés par la régulation. Dans cette catégorie, elle-même divisée en deux « classes » selon leur niveau de criticité, on retrouve les outils jouant un rôle central dans la sécurité des réseaux ou ceux dont les failles de sécurité présentent un risque pour un grand nombre de personnes.
La Commission donne la liste des produits rangés dans cette catégorie, qui devront se soumettre à des exigences supplémentaires. Dans la classe 1, on retrouve par exemple les antivirus, les gestionnaires de mots de passe ou encore les VPN. La classe 2 comprend de son côté les systèmes d’exploitation pour ordinateurs, smartphones et serveurs, les objets connectés et routeurs à destination du monde industriel, ainsi que les logiciels essentiels à la gestion des services cloud (les « hyperviseurs »). La Commission se réserve le droit de modifier la liste des appareils et services concernés par le règlement.
Pour l’ensemble des produits, le texte prévoit deux mesures principales : les fabricants devront prendre en compte la sécurité de l’appareil ou du logiciel dès sa conception, et ils ne devront pas livrer de produits comportant des failles de sécurité connues. D’autres mesures, comme le déploiement de chiffrement pour protéger la confidentialité des données, pourront s’appliquer selon l’évaluation des risques réalisée par le constructeur ou par un tiers.
Les fabricants ne devront pas livrer de produits comportant des failles de sécurité connues
Parmi les obligations évoquées, le texte souhaite clarifier la documentation accompagnant les produits : ceux-ci devront être assortis d’informations claires concernant leur sécurité, le support technique proposé par le fournisseur ou l’installation de mises à jour de sécurité. Le Cyber Resilience Act prévoit également certaines dispositions visant à s’assurer que les constructeurs assurent la diffusion de correctifs de sécurité pendant au moins cinq ans, ainsi que la mise en place de procédures de gestion de vulnérabilités conformes aux directives de la Commission européenne.
Des amendes jusqu’à 15 millions d’euros
Des contraintes supplémentaires sont prévues pour les produits compris dans la catégorie « critique » : contrairement à la majorité des produits couverts par le règlement, ceux-ci devront démontrer leur conformité avec une norme déjà existante ou la faire vérifier par un organisme tiers désigné par chaque Etat membre. De plus, les fabricants seront tenus de signaler sous vingt-quatre heures à l’Agence de l’Union européenne pour la cybersécurité (Enisa) les nouvelles vulnérabilités découvertes dans ces produits et activement exploitées par des cybercriminels.
La Commission confie aux Etats membres le soin de désigner des organismes de surveillance du marché, chargés de vérifier la conformité des organisations et des produits à la nouvelle régulation. En cas de manquement, le texte prévoit des amendes pouvant s’élever jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires de l’entreprise fautive, ainsi que la possibilité d’interdire à un produit la commercialisation sur le sol européen.
La proposition de la Commission est la première étape dans le parcours législatif européen du texte. Celui-ci doit encore recevoir l’accord du Parlement européen, ainsi que celui du Conseil de l’Union européenne. Les trois devront ensuite négocier pour s’accorder sur un texte final. De nombreux détails peuvent donc changer entre la proposition initiale de la Commission et le texte final qui sera adopté. En tant que règlement, le texte ne prévoit pas de transposition dans le droit français et s’appliquera de la même manière dans l’ensemble des Etats membres de l’Union européenne. Une fois adoptées, les entreprises et Etat membres « disposeront d’un délai de deux ans pour s’adapter aux nouvelles exigences », assure la Commission.