La Commission européenne présentera, dans le courant de la semaine prochaine, sa proposition de législation sur la cyberrésilience ('Cyber resilience act') (EUROPE 12914/13). Ce texte, annoncé en 2021 par la Commission lors du dernier discours sur l’état de l’Union, vise à renforcer les exigences pour relever le niveau minimum de cybersécurité de tous les objets connectés du marché.
Concrètement, la Commission prévoit de recourir au même type d’approche que pour les jouets, notamment, en imposant des exigences aux acteurs qui produisent et distribuent des objets connectés, en recourant à des règles d’évaluation renforcées et des garanties de sécurité accrues.
En se basant sur une législation horizontale qui touche à tous les secteurs, le texte prévoit notamment « d’inclure tous les matériels informatiques, les ordinateurs portables, les téléphones mobiles, les équipements en réseau ou encore les puces électroniques », a détaillé une source européenne. Une liste précise devrait faire partie de la proposition.
En outre, les produits indépendants, les logiciels et les applications tomberont aussi sous le coup du champ d’application du texte. Toutefois, des exceptions sont prévues pour les logiciels 'open-source', « tant qu’ils ne sont pas engagés dans une activité commerciale », a complété cette même source. D’autres exclusions existeraient, selon les normes en vigueur, dans certains secteurs spécifiques.
« Vous devez être sûrs que, si un objet ou un produit est connecté, il faudra répondre aux exigences pour disposer du marquage 'CE', prouvant sa conformité », a résumé une source européenne, ajoutant que certains logiciels déjà couverts par la directive révisée NIS 2 (EUROPE 12992/31) n'entreraient pas dans le champ d’application du texte.
Une évaluation plus poussée pour 10% des produits
L’approche de la Commission repose sur le fait d’imposer des minimums. Dans le détail, le texte devrait assurer que les produits sur le marché n’ont pas de vulnérabilités et sont conçus pour limiter les attaques, entre autres en prévoyant la possibilité d'installer rapidement des mises à jour.
Pour 90% des objets représentant le moins de risques, une auto-évaluation serait la norme, avant qu’une autorité nationale déclare un produit conforme. Pour les 10% restants, représentant des risques plus critiques, l’approche serait renforcée par le biais d'une évaluation par une entité indépendante, qui serait chargée de vérifier que le produit respecte les règles.
« Nous n’éliminons pas tous les risques. Nous voulons augmenter les niveaux minimums pour réduire les capacités d’attaque », a déclaré cette même source européenne.
Par ailleurs, un nouvel élément a été introduit en matière de gouvernance. Si le pouvoir reste entre les mains des autorités nationales de surveillance, un niveau européen de gouvernance serait proposé dans des cas exceptionnels.
Ainsi, dans l'éventualité où une autorité nationale n’aurait pas correctement fait son travail ou dans celle où la Commission estimerait qu’un produit représente un risque - même si une autorité nationale l'a déclaré conforme -, un rapport d'évaluation pourrait être demandé à l’agence européenne pour la cybersécurité (ENISA).
Selon les conclusions du rapport, la Commission aurait la capacité de prendre certaines mesures par le biais d’actes d’exécution.
Ces mesures pourraient aller du rappel du produit à son retrait pur et simple du marché unique européen et jusqu'à des amendes pouvant atteindre 15 millions d’euros ou 2,5% du chiffre d'affaires mondial d’une entreprise. (Thomas Mangin)