Dans un geste historique, l’Union européenne se prépare à adopter la première législation mondiale sur la cybersécurité. Après d'intenses négociations, il y a quelques jours (30 novembre), les représentants du Parlement européen et du Conseil de l'UE sont parvenus à un accord sur les réglementations proposées par la Commission européenne en septembre 2022.
Ces nouvelles règles imposeront des exigences de cybersécurité « proportionnées et obligatoires » pour tous les produits matériels et logiciels mis sur le marché unique européen. Ce spectre comprend une large gamme d'appareils, des babyphones aux montres intelligentes, des jeux informatiques aux pare-feu et routeurs. En vertu du Cyber Resilience Act, les fabricants de technologies de l’information seront tenus de mettre en œuvre des mesures de sécurité tout au long du cycle de vie des produits, de la conception et du développement jusqu’à la mise sur le marché. Les produits considérés comme « sûrs » recevront le marquage CE, symbole de conformité aux exigences du règlement et garantie de commercialisation dans toute l'UE.
L'objectif de cette législation est double : garantir que les produits numériques utilisés au quotidien répondent à des normes de sécurité élevées et tenir les fabricants responsables de la sécurité de leurs produits..
Secondo Vera Jourova, vice-président de la Commission européenne pour les valeurs et la transparence, 90 % des produits nécessiteront une auto-évaluation de la part des acteurs du marché sur leur cyber-résilience. Cette catégorie comprend les appareils qui gèrent des services tels que la retouche photo, le traitement de texte, les haut-parleurs intelligents, les disques durs et les consoles de jeux vidéo. Les 10 % restants seront divisés en deux classes de criticité : la « Classe I », qui comprend les gestionnaires de mots de passe, les interfaces réseau et les pare-feu, nécessitera des normes prédéfinies ou des évaluations tierces ; tandis que pour la « Classe II », qui comprend les systèmes d'exploitation et les pare-feu industriels, une évaluation indépendante sera nécessaire.
Thierry Breton, commissaire européen chargé du marché intérieur, souligne l'importance cruciale de la cybersécurité non seulement pour les consommateurs, mais pour la société dans son ensemble. Le nombre de cyberattaques sur la chaîne d'approvisionnement en logiciels a triplé l'année dernière, avec un coût estimé à environ 20 milliards d'euros. En 2021, environ 10 millions d’attaques DDoS ont été enregistrées dans le monde.
La version finale de la loi, élaborée lors des trilogues interinstitutionnels, a conservé la structure générale de la proposition initiale de la Commission. L'obligation légale pour les constructeurs de fournir des mises à jour de sécurité pendant une durée d'au moins cinq ans a été confirmée. En outre, des mesures de soutien ont été prévues pour les petites et micro-entreprises, notamment des activités de sensibilisation et de formation.
Avant son adoption définitive, l'accord devra être ratifié par la session plénière du Parlement européen et par les ministres des 27 pays membres réunis au Conseil. Une fois votée, la loi Cyber-Résilience sera publiée au Journal Officiel et les nouvelles règles entreront en vigueur trois ans plus tard.
Loi sur la cyber-résilience
Le Cyber Resilience Act, législation pionnière dans le domaine de la cybersécurité, a été proposé par la Commission européenne le 15 septembre 2022. Cette initiative s'inscrit dans un engagement plus large de l'Union européenne visant à renforcer la résilience et la sécurité de son espace numérique. Le règlement se concentre sur les aspects cruciaux de la cybersécurité des produits matériels et logiciels, dans le but d'élever et de normaliser les normes de sécurité sur l'ensemble du marché unique européen.
Voici les points clés de la Loi Cyber Résilience :
- Exigences de sécurité : Cela impose la nécessité d’intégrer des mesures de cybersécurité robustes dans toutes les phases du cycle de vie du produit, de la conception au lancement.
- Marquage CE: Les produits qui répondent aux exigences de sécurité obtiendront le marquage CE, indiquant leur conformité aux normes de sécurité de l'UE et leur aptitude à la vente dans toute l'Union.
- Évaluation et conformité : Il introduit un système d'évaluation différenciée des risques. Même si la cyber-résilience de la plupart des produits peut être auto-évaluée, certains produits à haut risque nécessitent des évaluations par des tiers.
- Mises à jour de sécurité : Il impose aux fabricants l'obligation de fournir des mises à jour de sécurité pendant une période minimale de cinq ans, garantissant ainsi une protection contre l'évolution des cybermenaces.
- Soutien aux petites et microentreprises : Il comprend des mesures de soutien aux petites et microentreprises, telles que des formations et une aide à la conformité.
- Responsabilités des producteurs : Il accentue la responsabilité des fabricants d'assurer la sécurité de leurs produits, en encourageant la production d'appareils plus sûrs.
Après sa proposition initiale en septembre 2022, l'accord politique sur la loi sur la cyber-résilience a été trouvé le 30 novembre 2022 entre les négociateurs du Parlement européen et du Conseil de l'UE. Cette étape représente une avancée significative dans le domaine de la sécurité numérique, en établissant des normes rigoureuses pour les fabricants et en améliorant la protection des consommateurs et des entreprises contre les cybermenaces. La mise en œuvre de cette loi marque un moment crucial pour la sécurité numérique dans l'Union européenne, visant à créer un environnement numérique plus sûr et plus résilient.