La gestion des enjeux de sécurité informatique fait aujourd’hui partie du quotidien des entreprises. Depuis des années, l’Europe s’investit pour renforcer la résilience des écosystèmes numériques tout en considérant les impacts inhérents à la création d’un cadre législatif. C’est donc naturellement que le sujet des "éléments numériques" ou objets connectés a émergé dans la réflexion européenne.
Le Cyber Resilience Act : opportunités et défis de la cybersécurité à l’ère des IoT
Le CyberResilience Act ("CRA")1 est la concrétisation de cette réflexion. Proposé en septembre 2022, le projet règlement européen s’est rapidement vu accorder l’importance qu’il mérite. En effet, il n’a fallu qu’une année pour que les négociations institutionnelles débutent. Cette mise en œuvre rapide de la procédure d’adoption d’un texte européen témoigne bien des enjeux majeurs qui en découlent pour le futur de l’Union.
Que propose ce texte?
Deux objectifs principaux sont définis pour garantir le bon fonctionnement du marché intérieur européen à savoir "1) créer les conditions nécessaires au développement de produits comportant des éléments numériques sécurisés, en veillant à ce que les produits matériels et logiciels mis sur le marché présentent moins de vulnérabilités et à ce que les fabricants prennent la sécurité au sérieux tout au long du cycle de vie d’un produit; et 2) créer des conditions permettant aux utilisateurs de prendre en considération la cybersécurité lorsqu’ils sélectionnent et utilisent des produits comportant des éléments numériques." Pour cela, il apparaît nécessaire "d’introduire des exigences de cybersécurité essentielles, axées sur l’objectif et technologiquement neutres pour ces produits".
Le préambule du projet de règlement est détaillé et fourni permettant de bien comprendre la réflexion et les axes retenus par le législateur européen.
Quels sont les éléments numériques visés ?
Le champ d’application du règlement est voulu très large. Il s’appliquera "aux produits comportant des éléments numériques dont l’utilisation prévue ou raisonnablement prévisible comprend une connexion directe ou indirecte, logique ou physique, à un dispositif ou à un réseau"2. C’est-à-dire à "tout produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels destinées à être mis sur le marché séparément"3 Les obligations prévues concernant lesdits produits s’appliqueront à l’ensemble de la chaîne des acteurs liés auxdits produits à savoir les fabricants, les importateurs et les distributeurs.
Quelles sont les exigences essentielles de sécurité déterminées ?
Il est intéressant de noter que dans la lignée d’autres textes et/ou projets en matière de numérique, ce projet propose une approche axée en fonction des risques. Ainsi les produits classifiés comme "critique" se verront appliquer des procédures spécifiques d’évaluation de la conformité. Par ailleurs, l’ensemble du cycle de vie de l’objet connecté doit être pris en compte. À la lecture du projet, si certaines obligations peuvent apparaître peu concrètes, la lecture de ses annexes est extrêmement éclairante et opérationnelle. La liste des annexes est la suivante :
- Annexe I "Exigences essentielles en matière de cybersécurité" ;
- Annexe II "Informations et instructions destinées à l’utilisateur" ;
- Annexe III "Produits (…)" ;
- Annexe IV "Déclaration UE de conformité" ;
- Annexe V "Contenu de la documentation technique" ;
- Annexe VI "Procédures d’évaluation de la conformité".
Il est ainsi possible de relever dans l’Annexe I, de nombreuses règles conformes à l’état de l’art tel que par exemple :
"(1) Les produits comportant des éléments numériques sont conçus, développés et fabriqués de manière à garantir un niveau de cybersécurité approprié en fonction des risques.
(2) Les produits comportant des éléments numériques doivent être livrés sans aucune vulnérabilité exploitable connue.
(3) Sur la base de l’évaluation des risques visée à l’article 10, paragraphe 2, les produits comportant des éléments numériques doivent, le cas échéant :
(a) être livrés avec une configuration de sécurité par défaut, y compris la possibilité de réinitialiser le produit à son état d’origine;
(b) assurer la protection contre les accès non autorisés par des mécanismes de contrôle appropriés, y compris, mais sans s’y limiter, des systèmes d’authentification, d’identité ou de gestion des accès;
(c) protéger la confidentialité des données stockées, transmises ou traitées de toute autre manière, à caractère personnel ou autres, par exemple en chiffrant les données pertinentes au repos ou en transit au moyen de mécanismes de pointe;
(…)
Les fabricants des produits comportant des éléments numériques doivent :
(1) recenser et documenter les vulnérabilités et les composants contenus dans le produit, notamment en établissant une nomenclature des logiciels dans un format couramment utilisé et lisible par machine couvrant au moins les dépendances de niveau supérieur du produit ;
(2) s’agissant des risques posés aux produits comportant des éléments numériques, gérer et corriger sans délai les vulnérabilités, notamment en fournissant des mises à jour de sécurité;
(3) soumettre régulièrement les produits comportant des éléments numériques à des tests et examens de sécurité efficaces ;
(4) dès la publication d’une mise à jour de sécurité, divulguer des informations sur les vulnérabilités corrigées, en ce compris une description des vulnérabilités, des informations permettant aux utilisateurs d’identifier le produit concerné, les conséquences de ces vulnérabilités, leur gravité et des informations aidant les utilisateurs
à y remédier ;
(5) mettre en place et appliquer une politique de divulgation coordonnée des vulnérabilités ;
(…) »
Quelles sanctions ?
Comme de nombreux textes en matière numérique, les sanctions se veulent à caractère dissuasif. Ainsi, des amendes administratives pouvant aller jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial pourront être prononcées.
D’un point de vue purement entrepreneurial, le texte est intéressant en ce qu’il vient rendre obligatoire les principes précités pour les opérateurs économiques désirant exercer leurs activités dans l’UE.
Enfin, il ne faut pas oublier que ce projet de règlement s’inscrit dans un contexte général de renforcement du cadre légal européen et français dans le domaine de la sécurité informatique. Il est donc impératif dans le cadre d’un projet d’établir une étude générale sur l’ensemble du cadre légal applicable à son projet ainsi qu’une veille juridique régulière.
SUR L’AUTEUR
Maître Marine Hardy exerce depuis dix ans dans les domaines de l’informatique, de l’Internet, et plus largement dans les domaines des technologies, du numérique et du digital. Avocat expérimenté rompu dans les domaines liés aux contrats, à l’informatique et à la sécurité, tant en conseil qu’en contentieux, elle intervient sur la rédaction, l’audit et négociation des contrats informatiques. Marine Hardy a rejoint ITlaw Avocats en 2018 et a pris la responsabilité du pôle Innovation & Sécurité du cabinet. Elle travaille sur les sujets d’innovation et vous accompagne sur les sujets de sécurité SI, cybersécurité et pour les situations de crise liées à la sécurité. Elle a développé une expertise pointue en matière d’innovations, de sécurité, de cybersécurité et a suivi le Mooc de l’Anssi.
________________________________
1 Proposition de Règlement du Parlement européen et du Conseil
concernant des exigences horizontales en matière de cybersécurité pour
les produits comportant des éléments numériques et modifiant
le règlement (UE) 2019/1020.
2 Cf. Article 1 objet.
3 Cf. Article 3 définition.
