L’IoT bientôt soumis au Cyber Resilience Act

La sécurisation des objets connectés est devenue une priorité au niveau européen. Le règlement Cyber Resilience Act devrait imposer un certain nombre d’exigences aux fabricants et aux distributeurs.

La sécurisation des objets connectés professionnels et surtout grand public est devenue une préoccupation majeure de tous. L’Union européenne s’est emparée du sujet avec le projet de loi Cyber Resilience Act (CRA).

Pour l’expliquer, la Commission européenne a évalué en 2021 à 5 500 milliards d’euros le coût annuel mondial de la cybercriminalité, un critère majeur contribue à ce constat, c’est le faible niveau de cybersécurité des produits hardware et software (vulnérabilités exploitées à grande échelle, absence de mise à jour de sécurité). C’est d’autant plus critique que les cabinets d’études estiment le nombre d’appareils dans le monde à des dizaines de milliards qui devraient être connectés d’ici à 2025.

Aujourd’hui, nous ne connaissons pas encore le calendrier de la mise en œuvre de la loi ni sa transposition dans chaque pays européen. Mais une chose est sûre, la loi CRA va imposer des obligations de sécurité pour commercialiser ces produits connectés aux fabricants mais aussi aux importateurs
et aux distributeurs.

« Les importateurs et les distributeurs devront également s’assurer que les produits qu’ils mettent sur le marché de l’Union européenne sont conformes aux exigences de sécurité de base listées par le Cyber Resilience Act. Cette disposition a donc des impacts plus ou moins directs sur les fabricants hors de l’Union », confirme Pauline Mendiela, consultante senior du cabinet de conseil Finegan.

Qu’imposera la loi ?

« Pour résumer, la loi demande déjà plus de security by design, c’est-à-dire de prendre en compte la sécurité dès la conception du produit et qu’aucune faille de sécurité connue ne soit détectée au moment de la livraison. Ensuite, la documentation technique évaluant les cyberrisques doit être plus rigoureuse.
Enfin, il y aura une obligation de fournir pendant cinq ans des mises à jour du produit pour corriger d’éventuelles failles. Un produit non maintenu pose un vrai problème », détaille Benoît Grunemwald, expert en cybersécurité chez Eset France.

Tout incident devra par ailleurs être notifié à l’European Union Agency for Cybersecurity (Enisa). L’objectif est d’éviter des attaques majeures. Souvenons-nous de Krook, cette vulnérabilité découverte par les chercheurs d’Eset qui affectait les appareils équipés de puces WiFi en décryptant certains paquets réseau. « Cette vulnérabilité était qualifiée de très sérieuse étant donné qu’elle concernait potentiellement des milliards d’objets connectés », se remémore Benoît Grunemwald.

Pour Pauline Mendiela, les contraintes les plus fortes pèseront sur une minorité de produits critiques, dont l’utilisation est hautement sensible et à destination d’acteurs essentiels pour les activités de la nation.

« Je ne pense pas que les crash-tests représentent un frein à l’innovation dans les voitures, c’est pareil pour les objets connectés, la sécurité doit être une préoccupation des fabricants »

Benoît Grunemwald, expert en cybersécurité chez Eset France

CRA : un frein à l’innovation ?

Déjà des voix s’élèvent contre le CRA, notamment le monde l’open source avec le CNLL (les entreprises du numérique ouvert). Un CRA mal défini et trop exigeant pourrait-t-il donner un coup d’arrêt à l’innovation ?

Benoît Grunemwald tente de relativiser en faisant référence au monde de l’automobile : « Je ne pense pas que les crash-tests représentent un frein à l’innovation pour les voitures, c’est pareil pour les objets connectés, la sécurité doit être une préoccupation des fabricants. Prenons aussi l’exemple du RGPD, d’un potentiel frein ce règlement a finalement été perçu comme une prise de conscience. Néanmoins, on peut voir le CRA comme un frein à l’innovation, un règlement qui impose une technologie n’est jamais bon. Ce fut notamment le cas pour l’interface USB-C qui a été imposée à Apple par l’Union européenne alors qu’Apple défendait sa propre technologie, Lightning. Était-elle meilleure ? Peut-être… Dans ce cas, on bride l’innovation. »

De son côté, Pauline Mendiela admet que tout ce qui est contraignant induit des freins à l’innovation : « Je pense que les coûts associés à ces mesures en sont le premier élément. Le CRA va indéniablement pousser les entreprises à revoir l’ensemble du cycle de vie des produits depuis la phase d’idéation et nécessiter des investissements tant technologiques qu’humains. Par ailleurs, les obligations relatives aux vulnérabilités ne sont pas sans impacts. En effet, les tests, les efforts de communication et de mises à jour de sécurité représenteront des coûts non négligeables tout autant que la mise en place de la certification CE par un établissement compétent. Cependant, le CRA peut être moteur dans les processus d’innovation et pousser les consommateurs et les entreprises à acheter ces produits plus sûrs d’un point de vue sécurité. »

La loi Cyber Resilience Act impose un certain nombre de mesures aux fabricants et aux importateurs/distributeurs dont une obligation de fournir pendant cinq ans des mises à jour du produit pour corriger d’éventuelles failles.

Une réglementation anticipée par les fabricants

D’ores et déjà, les industriels s’activent à sécuriser leurs produits, à l’image de D-Link qui l’opère depuis des années pour ses caméras : « Depuis l’origine, en 2011, notre offre Cloud mydlink de vidéosurveillance a été conçue pour assurer à nos utilisateurs la sécurité et la tranquillité qu’ils sont en droit d’attendre. En premier lieu, les serveurs se trouvent à Dublin [Irlande], ce qui nous permet depuis d’être en conformité avec le RGPD. Ensuite, nous travaillons en partenariat avec les équipes d’AWS pour s’assurer de disposer des dernières solutions de sécurité, que ce soit sur la partie applicative ou sur les caméras et les échanges permettant de visualiser leurs vidéos en toute sécurité. Enfin, nous avons mandaté la société TrustArc, reconnue comme experte indépendante en sécurité, pour qu’elle audite régulièrement nos solutions. Depuis plus de dix ans, nous obtenons la certification TRUSTe Privacy », résume Thierry Doualan, Product Manager chez D-Link France.

Selon Benoît Grunemwald, les grands industriels ont déjà anticipé ce règlement. « Toutefois, si ce règlement existe, c’est qu’il y a aussi des mauvais élèves », ajoute-t-il. Un avis que partage en partie Pauline Mendiela : « Un certain nombre de mesures imposées par le CRA sont déjà en place, notamment pour des produits qui allaient être mis sur des marchés déjà régulés, comme celui de la santé, de la finance et parfois l’automobile. En revanche, pour la majorité des industriels, la priorité n’était donc pas celle de la sécurité. »

De plus, un autre défi est à relever pour la porte-parole du cabinet de conseil, c’est celui de l’intégration de l’IoT aux secteurs industriels : « Les environnements IT/OT sont encore souvent en silos, avec une chaîne d’approvisionnement peu maîtrisée et des problématiques d’obsolescence des machines à connecter. Pour autant l’industrie 4.0 se développe et génère une quantité massive de données, ce qui la rend d’autant plus attractive aux yeux des acteurs malveillants sans avoir forcément anticipé le CRA. »

« Les importateurs et les distributeurs devront s’assurer que les produits mis sur le marché de l’Union européenne sont conformes aux exigences de sécurité listées par le Cyber Resilience Act »

Pauline Mendiela, consultante senior du cabinet de conseil Finegan

Des interrogations sur la rédaction du CRA pour le monde de l’open source

Si les experts du logiciel libre et du numérique ouvert (CNLL) soutiennent les objectifs du CRA visant à accroître la qualité et les normes de sécurité des matériels et des services en ligne, ils demandent en revanche à ce que le gouvernement français fasse tous les efforts nécessaires pour que soient clarifiées les questions de responsabilité pour les créateurs de logiciels et composants open source, afin d’éviter tout risque juridique et de minimiser l’impact du CRA sur l’économie et la souveraineté numériques.

Il faut dire que l’immense majorité de tous les logiciels embarqués contient des composants open source. « Dans Android, de nombreux éléments fonctionnent en open source », donne en exemple Benoît Grunemwald.

Le CNLL s’inquiète notamment de la rédaction du CRA, qui semble avoir été principalement rédigé sous le prisme du logiciel propriétaire. Le CRA prévoit une exemption pour les logiciels libres, à condition qu’ils ne soient pas utilisés dans le cadre d’activités commerciales.

Le problème réside toutefois dans la définition concrète du terme « commercial ». Avec le CRA, il existe un vrai risque d’éparpillement des développeurs qui ne seront plus forcément soutenus par une communauté, laquelle apporte aussi de la transparence. Cela entraînerait encore plus de failles dans les objets connectés.

Pour Pauline Mendiela, si les préoccupations des défenseurs de l’open source semblent légitimes, le CRA semble également essentiel pour évoluer plus sereinement dans l’écosystème cyber actuel : « Au-delà de la tolérance accordée aux produits en phase de test, le CRA pourrait inclure des exemptions spécifiques pour les produits open source ou alléger certaines dispositions en considérant que les utilisateurs de ses produits y ont recours en tout état de cause. Il est essentiel, à ce stade, de prendre des dispositions proportionnées, de clarifier les responsabilités et de potentiellement renforcer le dialogue avec un secteur indispensable à l’innovation et à la compétitivité européennes au regard des autres pays du monde. »

La loi Cyber Resilience Act impose un certain nombre de mesures aux fabricants et aux importateurs/distributeurs dont une obligation de fournir pendant cinq ans des mises à jour du
produit pour corriger d’éventuelles failles.

NIS 2, une autre directive prenant aussi en compte l’IoT

Il y aura bien sûr le Cyber Resilience Act, mais un autre règlement englobe et complète indirectement le secteur de l’IoT, c’est la directive NIS (Network and Information Security) 2 qui s’appuie sur les acquis de la directive NIS 1 en élargissant ses objectifs et son périmètre d’application pour apporter plus de protection.

Ainsi, le périmètre des entreprises concernées passe de 19 secteurs à 35. Sont entre autres concernés les administrations publiques, le secteur spatial, les fournisseurs de services numériques, les réseaux d’eaux usées et de gestion de déchets, les services postaux, l’alimentation, les fabricants de produits chimiques et pharmaceutiques, les acteurs de l’énergie, des transports, les banques et institutions financières et la santé.

Point important, des milliers d’entreprises vont être contraintes par la loi de rehausser le niveau de leur sécurité informatique dont certaines PME et collectivités mais pas encore les petites structures. Le texte de la directive NIS 2 a été adopté en mai 2022 pour une transposition pour la fin de l’année 2023 en France, et l’obligation de répondre à une conformité courant 2024 pour tous les secteurs désignés ci-dessous.

Cette directive vise également les prestataires IT desdites entreprises ayant un accès à toutes ces infrastructures critiques. Plus stricte, la NIS 2 oblige les acteurs à déclarer le sinistre dans les 72 heures afin de réagir au plus vite et d’annihiler la cybermenace. Tous devront se soumettre à des audits de sécurité dans le but de recevoir des recommandations et de répondre à des normes de sécurité drastiques. En cas de non-respect, les sanctions seront plus sévères ; elles incluent notamment des amendes administratives dont le montant peut aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires de l’entité, la responsabilité du dirigeant pouvant même être engagée.