SÉCURITÉ Les objets connectés bientôt soumis au Cyber Resilience Act La sécurisation de l’Internet des objets est devenue une priorité au niveau européen. Le Cyber Resilience Act devrait imposer cette année un certain nombre d’exigences aux fabricants et aux distributeurs. les cyberrisques. Enfin, il y aura une obligation de fournir pendant cinq ans des mises à jour du produit pour corriger d’éventuelles failles. Tout incident devra être notifié à l’European Union Agency for Cybersecurity (Enisa). Prêts, les industriels ? D’ores et déjà, certains grands industriels se sont activés à sécuriser leurs produits. Et pour cause, un certain nombre de mesures imposées par le CRA sont en place, notamment concernant des produits qui allaient être mis sur des marchés déjà régulés, comme celui de la santé, de la finance et parfois de La sécurisation des objets connectés (IoT) Le Cyber Resilience l’automobile. Toutefois, si ce règlement professionnels et surtout grand public Act impose un certain existe, c’est qu’il y a des mauvais élèves. est devenue une préoccupation majeure nombre de mesures Il faut dire que, pour la majorité des de tous. L’Union européenne s’est emparée aux fabricants et industriels, la priorité n’était pas celle du sujet et a présenté la loi Cyber Resilience aux importateurs/ de la sécurité. De plus, un autre défi est Act (CRA). La Commission européenne distributeurs dont une à relever : celui de l’intégration de l’IoT a évalué le coût annuel mondial de la obligation de fournir aux secteurs industriels. En effet, cybercriminalité à 5 500 milliards d’euros pendant cinq ans les environnements IT/OT sont encore en 2021. Un critère majeur contribue des mises à jour du souvent « silotés », avec une chaîne à ce constat, c’est le faible niveau de produit pour corriger d’approvisionnement peu maîtrisée cybersécurité des produits hardware d’éventuelles failles. et des problématiques d’obsolescence et software (vulnérabilités exploitées des machines à connecter. à grande échelle, absence de mise à jour de sécurité). C’est d’autant plus critique que les cabinets d’études estiment à des Le CRA, une menace pour l’avenir dizaines de milliards le nombre d’appareils du logiciel libre ? qui devraient être connectés dans le Si le Conseil national du logiciel libre (CNLL) soutient les objectifs monde d’ici à 2025. Aujourd’hui, nous du CRA visant à accroître la qualité et les normes de sécurité ne connaissons pas encore le calendrier des matériels et des services en ligne, il demande en revanche de la mise en œuvre de la loi ni de sa à ce que le gouvernement français fasse tous les efforts nécessaires transposition dans chaque pays européen. pour que soient clarifiées les questions de responsabilité pour Mais une chose est sûre, le CRA va imposer les créateurs de logiciels et composants open source, afin d’éviter des obligations de sécurité pour tout risque juridique et de minimiser l’impact du CRA sur l’économie commercialiser les produits connectés et la souveraineté numériques. Il faut dire qu’une immense majorité aux fabricants mais aussi aux importateurs des logiciels embarqués contiennent aujourd’hui des composants et aux distributeurs. La loi demande déjà open source. Le CNLL s’inquiète notamment de la rédaction du CRA, plus de security by design, c’est-à-dire qui semble avoir été rédigé principalement sous le prisme de prendre en considération la sécurité du logiciel propriétaire. De plus, avec le CRA, il existe un vrai risque dès la conception du produit et qu’aucune d’éparpillement des développeurs qui ne seront plus forcément faille de sécurité connue ne soit détectée soutenus par une communauté, laquelle apporte également au moment de la livraison. Ensuite, de la transparence. Cela entraînerait de facto encore plus de failles la documentation technique du produit dans les objets connectés. devra mentionner rigoureusement tous Guide de visite 37