L’Union européenne continue de se doter d’un arsenal juridique dédié à la cybersécurité.
Après l’adoption du Cybersecurity Act (règlement 2019/881 du 17 avril 2019 relatif à l’ENISA et à la certification de cybersécurité), de la directive Digital Operational Resilience Act (directive 2022/2556 du 14 décembre 2022, dit « DORA ») et la mise à jour de la directive NIS 2 (directive 2022/2555 du 14 décembre 2022 – voir notre article de présentation), l’Europe travaille à présent sur un projet de règlement applicable à la cybersécurité du hardware et du software.
Quel est le but du Cyber Resilience Act ?
La Commission européenne évalue en 2021 à 5 500 milliards d’euros le coût annuel mondial des dégâts engendrés par la cybercriminalité. Pour elle, deux problèmes majeurs contribuent à ce phénomène:
- d’une part, le faible niveau de cybersécurité des produits hardware et software (vulnérabilités exploitées à grande échelle, absence de mise à jour de sécurité) ;
- d’autre part, les acheteurs sont mal informés des qualités cybersécurité des produits hardware et software qu’ils achètent.
L’ambition du Cyber Resilience Act (CRA) est multiple :
- autoriser uniquement la commercialisation de produits présentant le moins de vulnérabilités ;
- obliger les fabricants à assurer la cybersécurité de leurs produits pendant tout le cycle de vie de ceux-ci ;
- offrir aux acheteurs plus de transparence sur les mesures de cybersécurité inclues dans les produits.
En adoptant de telles mesures, la Commission européenne estime que le coût des incidents de cybersécurité pourrait être réduit en Europe de 180 à 290 milliards d’euros.
Quels produits seront concernés par le Cyber Resilience Act ?
Le Cyber Resilience Act s’appliquera à tous les « produits comportant des éléments numériques dont l’utilisation prévue ou raisonnablement prévisible comprend une connexion directe ou indirecte, logique ou physique, à un dispositif ou à un réseau » ce qui inclut « tout produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels destinés à être mis sur le marché séparément« .
En pratique, tout type de hardware (routeurs, switchs, disques durs, caméras, smartphones, enceintes connectées, IoT, etc.) et de software (logiciel de traitement de texte, antivirus, logiciels VPN, OS serveurs) sera concerné par le Cyber Resilience Act.
Le CRA identifie également des « produits critiques », divisés en deux classes de risques. Les « produits critiques » seront soumis à des procédures spécifiques d’évaluation de la conformité (nécessité de respecter une norme d’évaluation ou évaluation par un tiers), qui varieront selon leur classification.
A qui s’appliquera le Cyber Resilience Act ?
Le Cyber Resilience Act imposera des obligations aux fabricants de produits hardware et software ainsi que certaines aux importateurs et distributeurs de ces produits.
Aux fabricants
Les principales obligations incombent aux fabricants, qui devront notamment :
- prendre en compte la cybersécurité dans toutes les phases de conception, de développement, de production, de livraison et de maintenance de leurs produits ;
- sourcer les composants électroniques qu’ils intègrent afin de se s’assurer qu’ils ne compromettent pas la sécurité de leurs produits ;
- évaluer et documenter tous les risques cyber pertinents et identifiés liés à ses produits ;
- fournir aux acheteurs une documentation évaluant les risques cyber de leurs produits ;
- corriger les vulnérabilités cyber de leurs produits pendant leur durée de vie ou pendant 5 ans à compter de leur mise sur le marché (attention cependant, la durée la plus courte étant retenue pour cette obligation) ;
- signaler les vulnérabilités et les incidents à l’ENISA.
Une annexe détaille les exigences de sécurité de base que les produits devront respecter. Il s’y dégage ce que l’on peut appeler une obligation de security by default des produits, lesquels devront notamment être livrés avec une configuration de sécurité par défaut (la fin des mots de passe admin par défaut), intégrer des mécanismes de contrôle empêchant les accès non autorisés, protéger la confidentialité et l’intégrité des données stockées, transmises ou traitées, prendre en compte la minimisation des données à caractère personnel, etc.
Aux importateurs et aux distributeurs
Les importateurs devront s’assurer que les produits qu’ils mettent sur le marché de l’Union européenne sont conformes aux exigences de sécurité de base listées par le Cyber Resilience Act.
Lorsqu’ils considèrent ou suspectent que tel n’est pas le cas, les importateurs devront :
- pour les produits qui ne sont pas encore mis sur le marché :
- s’abstenir de les mettre sur le marché de l’Union européenne ;
- informer le fabricant et l’autorité de surveillance, en cas de risque de cybersécurité important.
- pour les produits qu’il a déjà mis sur le marché :
- mettre immédiatement en place les mesures correctives nécessaires ; ou
- procéder au retrait ou au rappel des produits si nécessaire.
Les distributeurs auront des obligations allégées par rapport aux importateurs. Les distributeurs devront notamment s’abstenir de mettre sur le marché tout produit qu’ils considèrent ou suspectent de ne pas être conformes aux exigences de sécurité de base listées par le Cyber Resilience Act.
Enfin, les importateurs ou les distributeurs pourront être considérés comme étant des fabricants – et donc supporter la charge des obligations incombant aux fabricants ! – lorsque ceux-ci mettront sur le marché un produit sous leur propre nom ou leur propre marque ou lorsqu’ils apporteront une modification substantielle à un produit.
Quelles seront les sanctions ?
Les Etats membres devront déterminer le régime de sanctions qu’ils souhaitent faire appliquer. Le CRA prévoit toutefois les plafonds d’amende applicable, qui diffèrent selon le type d’obligation non respectée :
- 15 millions d’euros ou 2,5% du chiffre d’affaires annuel mondial total, lorsque la non-conformité concerne les exigences essentielles à adopter en matière de cybersécurité ;
- 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial total, lorsque la non-conformité concerne toute autre obligation contenu dans le CRA ;
- 5 millions d’euros ou 1% du chiffre d’affaires annuel mondial total, lorsque des informations inexactes, incomplètes ou trompeuses sont fournies aux autorités de surveillance du marché.
Les fabricants ne sont pas les seuls exposés à ce risque de sanctions : les importateurs ou distributeurs qui négligeraient leur obligation de s’assurer que les produits importés ou vendus par eux présentent des garanties suffisantes en terme de cybersécurité s’exposeront à un risque financier important.
Le CRA devrait ainsi décourager les professionnels d’importer ou de vendre des produits low cost, fabriqués en dehors de l’Union européenne sans réelles garanties de sécurité pour leurs utilisateurs.
Quand s’appliquera-t-il ?
Le Cyber Resilience Act est un projet de règlement actuellement en discussion au sein des instances de l’Union européenne. Son contenu définitif n’est donc pas connu, et des débats existent notamment autour des logiciels open source pour lesquels un assouplissement est en voie d’être trouvé afin de ne pas imposer les obligations du CRA aux communautés du libre.
A ce jour, il n’existe pas de calendrier précis quant à l’entrée en vigueur du CRA. Une fois voté par le Parlement européen, il devrait en principe s’appliquer 24 mois après sa publication au Journal officiel de l’Union européenne.