Afin de mieux garantir la cybersécurité, l’Union Européenne votera certainement avant l’été 2023 le Cyber Resilience Act.
La cybersécurité des produits numériques fait référence aux mesures de sécurité mises en place pour protéger les produits connectés contre les cyberattaques. Elle est de la responsabilité des fabricants.
Pour l’IoT, est-ce le début d’une ère mieux contrôlée ?
L’IoT étend la surface d’attaque potentielle pour les cybercriminels car de nombreux dispositifs sont encore peu sécurisés et facilement piratables.
L’internet industriel des objets fait donc explicitement partie des produits critiques listés, ainsi que tous les objets qui remontent des données personnelles ou de localisation.
Les fabricants d’objets connectés ou de services associés doivent ainsi mettre en œuvre des actions pour être en conformité dès 2025, avec le Cyber Resilience Act. En cas de non-respect, ils s’exposent en effet à des amendes pouvant s’élever à 15 millions € ou 2,5 % de leur chiffre d’affaires mondial.
NB. La notion de « fabricants » est prise au sens large
Il peut s’agir d’importateurs, de distributeurs ou de mandataires qui mettraient sur le marché et sous leur propre marque, un produit OEM (Original Equipment Manufacturer). La plupart des objets connectés « low cost » qui inondent le marché européen aujourd’hui seront donc interdits en 2025 si ces objets conservent leurs définitions actuelles.
3ZA vous accompagne
Voici quelques-unes des actions à mettre en œuvre (liste non exhaustive). N’hésitez pas à nous consulter directement.
- Prendre en compte le cyber dès sa conception et sur tout le cycle de vie du produit et/ou service
- Mener une analyse des risques cyber et mettre à disposition la documentation technique pendant 10 ans
- Nommer un correspondant cyber
- Avertir dans les 24 H les autorités compétentes (ENISA) et les clients de toute vulnérabilité ou attaque
- Diffuser des correctifs de sécurité et mises à jour pendant au moins 5 ans après la sortie du produit
- Rendre publique les composants logiciels open sources et propriétaires utilisés dans le produit
Le Cyber Resilience Act en détails
Ce texte a pour objectif de garantir la cybersécurité des produits numériques. Il doit fixer les exigences essentielles relatives à la conception (cybersecurity by design), au développement, à la production et à la gestion des vulnérabilités observées.
Télécharger la brochure Cyber Resilient Act datée de septembre 2022
Accéder au texte de la Directive
Les faits et chiffres
- En 2021, le coût annuel mondial de la cybercriminalité a été estimé à 5 500 milliards € (un peu moins de 300 milliards € pour l’UE)
- Selon le commissaire européen Thierry Breton, « La plupart des produits matériels et logiciels ne sont soumis à aucune obligation en matière de cybersécurité ». Vérifiez vous-même sur Google en faisant une recherche Google telle que «default password Vodafone» ou «default password Samsung»…
Grâce à cette nouvelle directive européenne, exit les mots de passe comme admin, user, 0000, 123456… Tous les produits connectés devront impérativement être mis sur le marché avec une configuration de sécurité par défaut.
Le Cyber Resilience Act classe les produits connectés en trois catégories
- Non critiques (90 % des objets grand public) : Auto-évalués (enceintes connectées, logiciels de retouche photos, jeux…)
- Critiques de classe 1 : Evalués par conformité à un standard, par des tiers ou par une agence nationale (microcontrôleurs, systèmes d’automatisation et de contrôle industriels …)
- Critiques de classe 2 : Obligatoirement évalués par des tiers ou une agence nationale (systèmes d’exploitation, secure éléments, compteurs intelligents…)
L’équipe 3ZA basée à Orléans, est agile et créative. A votre écoute pour tout conseil et/ou accompagnement, contactez-nous.
