La loi européenne sur la cyberrésilience (CRA)
En mars 2024, le Parlement européen a approuvé le Cyber Resilience Act (CRA). Ce règlement vise à protéger les consommateurs et les entreprises utilisant des produits connectés et des applications traitant des données à distance. Il impose des obligations de cybersécurité aux fabricants et détaillants qui doivent s’appliquer durant tout le cycle de vie du produit.
Cette loi exige notamment :
- Plus de « security by design » : les fabricants doivent prendre en compte les normes de sécurité dès la conception du produit. Aucune faille de sécurité ne doit exister lors de la livraison.
- Une documentation technique rigoureuse évaluant les cyberrisques.
- Des mises à jour régulières du produit pour corriger les failles éventuelles.
Le CRA nécessitant encore la validation par le Conseil européen, le calendrier de sa mise en œuvre n’est pas encore connu. Il devrait toutefois être adopté dans le courant de l’année. Dès son application, les acteurs concernés auront 36 mois (3 ans) pour s’adapter aux nouvelles obligations.
Les autorités de surveillance de chaque État membre devront infliger des amendes aux entreprises ne répondant pas aux normes de certification et interdire la mise sur le marché des dispositifs concernés.
La directive NIS 2
La NIS 2 (Network and Information Security) élargit le champ d’application de la première directive NIS de 2016. Il passe ainsi de 19 à 35 secteurs, avec notamment les fournisseurs de services numériques, les administrations publiques, les transports, la santé ou encore les banques. Cela concerne un large éventail d’industries différentes, allant des groupes du CAC40 au Entreprises de Taille Intermédiaire (ETI). Mais ce n’est pas tout : elle introduit également de nouvelles exigences pour renforcer la cybersécurité dans l’UE.
Quelques exemples :
- Responsabiliser la direction dans la gestion des cyber incidents
Le PDG et le comité exécutif doivent être déclarés comme responsables de la cybersécurité dans l’entreprise. Plusieurs sanctions sont prévues pour certaines industries (entités essentielles) comme l’interdiction d’exercer pour les dirigeants.
- Signaler rapidement tout incident de cybersécurité
Les entreprises ont l’obligation de prévenir l’autorité nationale compétente (en France, il s’agit de l’ANSSI) dans les 72 heures suivant l’incident. Des processus clairs et des moyens techniques doivent être prévus pour annihiler la menace au plus vite. Elles doivent également se soumettre à des audits de sécurité.
Plusieurs articles de la directive imposent de renforcer le contrôle des utilisateurs ayant accès aux objets connectés (stratégie Zero Trust) et encouragent les entreprises à prévoir des mises à jour logicielles régulières. Chaque pays de l’Union Européenne devra transposer cette directive en octobre 2024 au plus tard.
Le Cybersecurity Act
Il vient renforcer le pouvoir de l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) et introduire une nouvelle certification en cybersécurité :
- Une coopération renforcée
Les cyberattaques étant désormais un enjeu majeur de la défense européenne, il était nécessaire d’harmoniser les mécanismes de défense afin d’assurer une réponse commune par les 27 États membres. Les agences nationales, qui n’ont désormais qu’un rôle consultatif, sont coordonnées sous l’égide de l’ENISA.
- Un certificat unique en cybersécurité
Les différents certificats nationaux de cybersécurité deviennent un seul et même certificat européen. Ce dernier est délivré par les agences nationales de chaque pays et bénéficie d’une reconnaissance mutuelle au sein des États membres. Le 31 janvier 2024, le premier schéma de certification de cybersécurité, l’EUCC, a été adopté. Objectif : harmoniser les méthodes d’évaluation et les procédures pour faire certifier les produits et logiciels.
A lire aussi : Sécurité IoT : quels enjeux pour les entreprises ?
RGPD, le règlement général sur la protection des données
Le RGPD est la législation la plus stricte au monde en matière de protection de la vie privée. Adopté en 2018, il fait de la sécurisation de l’IoT un enjeu majeur et énonce les droits des utilisateurs relatifs à leurs données : modification, accès, droit à l’oubli, portabilité, etc. Pour pousser les entreprises à concevoir les objets connectés différemment, il impose le concept de « privacy by design » : la protection des données à caractère personnel doit être prise en compte dès la conception du produit. À la clé : retrouver la confiance des consommateurs vis-à-vis des objets connectés.
Avec le RGPD, les fabricants ont l’obligation d’instaurer des mesures de sécurité pour garantir la confidentialité, l’authenticité et l’intégration des données. Cela passe notamment par des mécanismes d’authentification des appareils entre eux et un chiffrement des échanges de données. Point important : les sous-traitants doivent également se conformer au RGPD.
Le saviez-vous ?
Le Royaume-Uni a été le premier pays à imposer des normes de cybersécurité pour les appareils IoT. En avril 2024, la loi sur la sécurité des produits et des infrastructures de télécommunications (PSTI) est entrée en vigueur. Elle impose par exemple aux entreprises d’intégrer des protections de sécurité à tout produit disposant d’une connexion internet. Les mots de passe par défaut comme « 1234 », « admin » sont ainsi interdits.
Objenious, votre partenaire dans la réalisation de vos projets IOT
Vous êtes fabricant d’objets connectés ? Chez Objenious, marque de Bouygues Telecom dédiée à l’IoT, nous proposons des accompagnements sur mesure. Nous proposons à la fois le LTE-M et le NB-IoT et assurons depuis fin 2022 la couverture de plus de 99 % de la population française. Nous sommes également présents dans plus de 126 pays ! À la clé : une performance garantie pour vos objets connectés, même en zone rurale. Contactez nos experts pour être guidés dans votre choix technologique et découvrez nos offres digitales