Loi sur la cyber-résilience européenne
Avril 2023
L’Œil du gf2i : La loi sur la cyber-résilience
300 entrées par semaine en moyenne dans « gf2i Insights », notre veille journalière de l’actualité du numérique !
Impossible d’avoir une réflexion de fond sur la vingtaine de thématiques qui alimentent cette veille.
Jean-Baptiste LORAIN, étudiant en master de droit du numérique à Paris 1, alternant au gf2i depuis quelques mois, porte pour nous son regard neuf et interrogatif sur un événement, un projet ou une tendance pour nous alerter et nous pousser à la réflexion sur ses enjeux.
Aujourd’hui, il s’intéresse au projet de règlement européen sur la cyber-résilience.
Loi sur la cyber-résilience : comment l’Europe compte imposer la sécurité à l’industrie de la tech ?
Le Cyber Resilience Act (CRA), ou loi sur la cyber-résilience, est un projet de règlement européen proposé par la Commission en septembre dernier. Il s’inscrit dans la large stratégie du législateur européen visant à renforcer les normes de cybersécurité, complétant d’autres textes comme le Cybersecurity Act ou l’AI Act sur l’intelligence artificielle*. La Commission s’appuie notamment sur le coût annuel mondial de la cybercriminalité, que certaines études évaluent à plus de 5500 milliards d’euros en 2021, pour justifier ses initiatives.
Ce règlement pose des exigences visant à combler les vulnérabilités des appareils connectés ou autres produits comportant des éléments numériques face aux cybers-menaces. Cela brasse de nombreuses catégories de produits, parmi lesquelles on retrouve notamment les caméras et autres dispositifs de sécurité, les écrans, les capteurs, les montres ou encore les thermostats connectés. Seuls les objets médicaux et les appareils embarqués dans des véhicules ne sont pas concernés par ce nouveau règlement, ces derniers étant déjà couverts par d’autres textes.
En effet, beaucoup de ces objets dont la commercialisation s’est accélérée ces dernières années ne disposent aujourd’hui pas d’un système de sécurité suffisant, et constituent ainsi des portes d’entrée idéales pour les hackers qui multiplient les cybers attaques. C’est en faisant ce constat et voulant remédier à ce problème que la commission a décidé de se positionner pour mettre en place des normes de sécurité spécifiques à ces objets.
Mais quel impact aura ce nouveau règlement sur l’industrie ?
A l’instar des fortes répercussions qu’a pu provoquer l’arrivée du RGPD en matière de protection des données personnelles il y a quelques années, on prévoit que ce nouveau règlement aura un impact considérable sur l’industrie, auquel elle doit dès à présent se préparer au risque de se voir sanctionner. En effet, l’entrée en application du CRA imposera à tous les fabricants commercialisant de tels objets dans un Etat membre de l’UE de se conformer à de nombreuses obligations.
En outre, parmi les obligations essentielles instaurées par le texte, la commission exige que les fabricants d’objets connectés ne commercialisent pas de produits dont des vulnérabilités exploitables ont déjà été identifiées lors de leur développement. Plus concrètement encore, ils devront paramétrer par défaut leurs objets au niveau maximum de sécurité et introduire des systèmes d’authentification et de gestion de l’identité pour prévenir les accès non autorisés. Les industriels devront régulièrement effectuer des tests et examens de sécurité et avoir la capacité de proposer des mises à jour de sécurité pour pallier les vulnérabilités de leurs produits. Le texte repose généralement sur le modèle de « security by design », reprenant ainsi le concept de « privacy by design » instauré par le RGPD.
À défaut de respecter ces obligations, les fabricants commercialisant ces produits s’exposeront aux sanctions prévues par le texte pouvant et atteindre jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel de l’entreprise visée. Ces sanctions seront délivrées par des autorités nationales indépendantes chargées de contrôler la conformité au règlement, comme la CNIL peut déjà le faire pour le RGPD, renforçant encore un peu plus la proximité entre ces 2 règlements et ne laissant aucun doute sur la source d’inspiration du législateur pour ce nouveau règlement.
Ce projet n’est pas encore gravé dans le marbre et il nécessitera des modifications avant d’être arrêté. La Commission doit toujours préciser ses idées sur certains points, comme sa position vis-à-vis des logiciels intégrés aux objets visés. Elle a par ailleurs rendu en février dernier un nouveau texte de compromis précisant les catégories d’objets afin d’éviter les incertitudes juridiques et améliorer l’interaction du texte avec les autres réglementations européennes comme l’AI Act.
Malgré cela, nous encourageons vivement les fabricants concernés à s’intéresser dès à présent à ce nouveau règlement afin d’éviter d’être pris de court par son entrée en application !
*Le Cybersecurity Act a été adopté en mars 2019 par le Parlement tandis que l’AI Act, proposé en avril 2021 par la Commission, est toujours en cours de révision et devrait être voté très prochainement par le Parlement.
