Vers de nouvelles règles de sécurité européennes pour les objets connectés

Qu’est-ce que le Cyber Resilience Act présenté le 15 septembre 2022, par Bruxelles ? Réponse : un projet de règlement européen qui veut améliorer la cybersécurité, notamment celle des objets connectés.

 Si l’objectif poursuivi est d’harmoniser les règles de cybersécurité pour les produits logiciels et matériels dans l’Union européenne, tous les produits numériques ne seront cependant pas concernés. Pourquoi cela ? Parce que ceux déjà sous le coup d’une règlementation ne se verront pas surajoutes au projet.

Trois exemples : les dispositifs médicaux¹, les produits numériques reglementes² et ceux du domaine de l’aviation civile³.

Selon la Commission européenne, « si tout est connecté, tout est piratable ». Il était donc nécessaire pour elle de règlementer ce secteur selon des règles plus restrictives, car le cout annuel⁴ de la cybercriminalité liée aux produits matériels et logiciels est estime a 5,5 T€. Par ailleurs, l’European Digital SME Alliance estime que la prévention des cyberattaques et de la cybercriminalité éviterait aux entreprises de débourser entre 180 Mds € et 290 Mds € par an⁵.

LE FAMEUX CONCEPT DE LA SÉCURITÉ DÈS LA CONCEPTION

Le Cyber Resilience Act impose le concept de security by design en listant des exigences cruciales en matière de cybersécurité. Ainsi, les fabricants, importateurs et distributeurs d’appareils ou de services connectes devront les respecter a travers la certification, de l’établissement de rapports et d’évaluations de la conformité. Et cela, tout au long du cycle de vie de leurs produits.

Ils seront également tenus de fournir un support de sécurité et des mises a jour logicielles qui identifient les vulnérabilités pendant une ≪ période raisonnable ≫ après la mise en commercialisation de tout nouvel appareil.

DU PAIN SUR LA PLANCHE POUR LES FABRICANTS

La prochaine phase sera l’adoption de ce règlement par les instances européennes, après quoi les fabricants auront deux ans pour s’adapter a ces exigences. Une tache colossale les attend donc, sachant que Bruxelles espère que l’application du Cyber Resilience Act aura un impact global dans le monde entier car, a l’instar du Règlement général sur la protection des données,⁶ il s’appliquera a toutes les entreprises européennes, y compris celles commerçant hors de l’Europe.

1 Règlement (UE) 2017/745 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux, modifiant la directive 2001/83/CE, le règlement (CE) no178/2002 et le règlement (CE) no1223/2009 et abrogeant les directives du Conseil 90/385/CEE et 93/42/CEE.

2 Règlement (UE) 2019/2144 du Parlement européen et du Conseil du 27 novembre 2019 relatif aux prescriptions applicables à la réception par types de véhicules à moteur et de leurs remorques, ainsi que des systèmes, composants et entités techniques distinctes destinés à ces véhicules, en ce qui concerne leur sécurité générale et la protection des occupants des véhicules et des usagers vulnérables de la route.

3 Règlement (UE) 2018/1139 du Parlement européen et du Conseil du 4 juillet 2018 concernant des règles communes dans le domaine de l’aviation civile, et instituant une agence de l’Union européenne pour la sécurité aérienne.

4 Cybersécurité Ventures, cité dans le rapport du Centre commun de recherche (2020) : Cybersecurity – our digital Anchor – a European perspective. Lien : bit.ly/3U1Wq7p

5 Source : digitalsme.eu

6 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

Bio Express

Avocat à la cour d’appel de Paris, Frédéric Forster dirige le pôle Télécoms du cabinet Alain Bensoussan Avocats Lexing depuis 2006. Il était précédemment directeur juridique du groupe SFR. Il est également vice-président du réseau international d’avocats Lexing.