Cyber Resilience Act CRA – Objectifs et Fonctionnement

Adoptée le 12 mars 2024, la Cyber Resilience Act, ou loi sur la cyber-résilience (CRA), constitue un changement radical dans le paysage de la cybersécurité en Europe.

0

Adoptée le 12 mars 2024, la Cyber Resilience Act, ou loi sur la cyber-résilience (CRA), constitue un changement radical dans le paysage de la cybersécurité en Europe.

Cette législation ambitieuse vise à renforcer significativement la protection contre les cybermenaces en établissant des exigences contraignantes pour les fabricants, les distributeurs et les utilisateurs de produits numériques au sein de l’UE.

Qu’est-ce que la Cyber Resilience Act ?

Le fonctionnement de la CRA peut se résumer en trois points :

  • Couverture étendue : La CRA s’applique à une large gamme de produits connectés au quotidien, des smartphones et ordinateurs aux objets connectés et logiciels.
  • Responsabilité partagée : La loi répartit les responsabilités en matière de cybersécurité entre les fabricants, les distributeurs et même les utilisateurs finaux. Chacun joue un rôle dans le maintien de la sécurité du produit.
  • Sécurité durant tout le cycle de vie : La CRA ne se limite pas à la conception initiale du produit. Elle oblige les fabricants à intégrer la sécurité dès la phase de développement, à proposer des mises à jour de sécurité régulières pour contrer les nouvelles menaces, et à prévoir une procédure de signalement claire en cas d’incident.

La chronologie de la loi CRA

Chronologie de la loi Cyber Resilience Act
Chronologie de la loi Cyber Resilience Act

Septembre 2021

En septembre 2021, la présidente de la Commission européenne, Ursula von der Leyen, réalise un discours sur l’état de l’Union.

Dans ce discours, elle aborde la cyber-résilience : « Si tout est connecté, tout peut être piraté. Étant donné que les ressources sont rares, nous devons regrouper nos forces. […] C’est pourquoi nous avons besoin d’une politique européenne de cyberdéfense, y compris une législation fixant des normes communes dans le cadre d’une nouvelle Loi européenne sur la cyber-résilience. ».

16 mars 2022

Le 16 mars 2022, la Commission européenne a ouvert une consultation publique d’envergure afin de rassembler les avis et les expériences de l’ensemble des parties prenantes concernées par la cybersécurité.

Cette initiative avait pour objectif d’alimenter l’élaboration du règlement européen en matière de cyber-résilience.

Mai 2022

Dans le cadre de son programme de travail pour 2022, la Commission européenne a annoncé la publication d’une proposition de loi relative à la résilience en matière de cybersécurité au cours du troisième trimestre 2022.

Cette proposition législative a pour objectif de mettre en place des normes communes en matière de cybersécurité pour l’ensemble des produits numériques commercialisés au sein de l’Union européenne.

Septembre 2022

En septembre 2022, plusieurs articles de loi furent proposés pour l’élaboration de la future loi européenne sur la Cyber-Résilience.

Le fonctionnement du Cyber Resilience Act
Le fonctionnement du Cyber Resilience Act

Juillet 2023

Le 21 juillet 2023, les États membres de l’Union européenne ont trouvé un accord sur la proposition de loi européenne sur la résilience en matière de cybersécurité.

Cet accord marque une étape importante dans le renforcement de la cybersécurité en Europe.

Accord sur la proposition de loi
Accord sur la proposition de loi

1er décembre 2023

Un grand pas vers une Europe plus cyber-résiliente : La Commission européenne se félicite de l’accord politique sur la loi sur la cyber-résilience, qui vise à renforcer la sécurité des produits numériques.

La loi doit encore être approuvée formellement par le Parlement et le Conseil, mais son entrée en vigueur est prévue pour 2024. Les entreprises auront ensuite 36 mois (ou 21 mois pour les déclarations d’incidents) pour se conformer aux nouvelles exigences.

12 mars 2024

Le parlement européen approuve la loi sur la cyber-résilience avec 517 voix pour, 12 contre et 78 abstentions.

Le texte doit encore être validé formellement par le Conseil européen.

4 avril 2024

Publication du document « Cyber ​​Resilience Act (CRA) Requirements Standards Mapping » – de l’ENISA et du Centre commun de recherche de la Commission européenne.

Champ d’application du CRA : La proposition de loi sur la cybersécurité (CRA) vise tous les produits numériques avec des éléments numériques mis sur le marché européen et pouvant se connecter à un appareil ou à un réseau. Cela inclut le matériel, les logiciels et même les solutions SaaS (Software as a Service) qui traitent des données à distance.

La proposition CRA définit deux ensembles d’exigences essentielles :

  1. Exigences de cybersécurité pour les produits : Ces exigences, détaillées dans l’annexe I, section 1 de la proposition, visent à garantir que les produits numériques soient conçus et développés de manière sécurisée.
  2. Exigences de gestion des vulnérabilités : Ces exigences, détaillées dans l’annexe I, section 2 de la proposition, obligent les fabricants à mettre en place des processus pour identifier, signaler et corriger les vulnérabilités de leurs produits.

Retrouver l’entièreté du document ici.

Quels sont les objectifs du Cyber Resilience Act ?

Les principaux objectifs du Cyber Resilience Act sont :

  1. Renforcement de la sécurité dès la conception des produits numériques.
  2. Amélioration de la transparence des informations de sécurité.
  3. Renforcement des obligations de notification d’incidents.
  4. Établissement d’un système de supervision du marché plus robuste.
  5. Amélioration de la coopération entre les États membres de l’UE.
Objectifs du Cyber Resilience Act
Objectifs du Cyber Resilience Act

Renforcement de la sécurité dès la conception des produits numériques

Les fabricants devront intégrer des mesures de sécurité dès la phase de conception de leurs produits, en suivant un cycle de vie sécurisé.

Cela inclut la gestion des risques, la sécurisation des composants matériels et logiciels, et la mise en place de processus de mise à jour et de maintenance sécurisés.

Amélioration de la transparence des informations de sécurité

Les fabricants devront fournir des informations claires et accessibles sur les propriétés de sécurité de leurs produits, permettant aux utilisateurs de faire des choix éclairés en matière de cybersécurité.

Cela inclut des informations sur les fonctionnalités de sécurité, les vulnérabilités connues et les mesures de correction mises en place.

Renforcement des obligations de notification d’incidents

Les fabricants et distributeurs devront signaler rapidement aux autorités compétentes les incidents de cybersécurité majeurs affectant leurs produits.

Cela permettra aux autorités de prendre des mesures rapides pour limiter les dommages et informer les utilisateurs potentiellement concernés.

Établissement d’un système de supervision du marché plus robuste

Les autorités européennes disposeront de nouveaux outils et de pouvoirs renforcés pour surveiller le marché et garantir le respect des exigences du CRA.

Cela inclut la réalisation d’audits, d’inspections et d’enquêtes, ainsi que la possibilité d’imposer des sanctions en cas de non-conformité.

Amélioration de la coopération entre les États membres de l’UE

Le CRA encourage une collaboration accrue entre les autorités nationales compétentes en matière de cybersécurité.

Cela permettra un partage d’informations plus efficace, une coordination des réponses aux incidents et une approche harmonisée de l’application de la loi.

Qui est concerné par la loi Cyber Resilience Act ?

Les acteurs principaux visés par le CRA sont les fabricants ainsi que les importateurs, les distributeurs sont, quant à eux, indirectement impactés.

Fabricants

Le CRA impose aux fabricants de produits connectés la responsabilité d’intégrer la sécurité dès la conception (security by design) et tout au long du cycle de vie de leurs produits. Voici les obligations concrètes :

  • Réalisation d’une analyse des risques de cybersécurité pour identifier les vulnérabilités potentielles du produit.
  • Conception du produit en tenant compte de ces risques, en mettant en œuvre des mesures de sécurité appropriées pour les atténuer.
  • Fourniture de mises à jour de sécurité régulières pour corriger les vulnérabilités découvertes après la mise sur le marché.
  • Notification aux autorités compétentes et aux utilisateurs en cas de failles de sécurité graves.
  • Conservation d’une documentation technique détaillée sur la sécurité du produit pendant une période donnée.

Importateurs

Le CRA responsabilise également les importateurs qui mettent sur le marché européen des produits connectés fabriqués hors de l’UE. Ils devront s’assurer que ces produits respectent les mêmes exigences de cybersécurité que ceux conçus par des fabricants européens. Cela implique notamment :

  • Exiger des fabricants étrangers une documentation technique démontrant la conformité du produit aux exigences du CRA.
  • Procéder à des vérifications aléatoires pour s’assurer de la véracité de cette documentation.
  • Alerter les autorités compétentes en cas de non-conformité détectée.

Distributeurs

Si les distributeurs (revendeurs) ne sont pas directement visés par les obligations les plus strictes du CRA, ils devront tout de même prendre en compte la cybersécurité des produits qu’ils vendent.

Quels produits sont concernés par le CRA ?

La définition fournie par le CRA est assez large et vise à inclure tout produit qui intègre des logiciels ou se connecte à internet, à l’exception de quelques cas spécifiques.

Voici quelques exemples concrets de produits impactés :

Produits grand public

  • Smartphones, ordinateurs portables, tablettes.
  • Enceintes intelligentes, montres connectées.
  • Jouets connectés, robots aspirateurs intelligents.
  • Thermostats connectés, caméras de surveillance IP.
  • Téléviseurs intelligents, réfrigérateurs connectés.

Produits professionnels

  • Équipements industriels pilotables à distance (robots, machines-outils).
  • Robots chirurgicaux et autres dispositifs médicaux connectés.
  • Systèmes de gestion des bâtiments (BMS) et d’automatisation industrielle.
  • Logiciels de gestion d’entreprise (ERP), de comptabilité et de gestion de la relation client (CRM).
  • Outils collaboratifs en ligne et plateformes de visioconférence.

Services numériques

  • Plateformes de commerce en ligne (marketplaces).
  • Services bancaires en ligne et plateformes de paiement.
  • Réseaux sociaux et plateformes de partage de contenu.
  • Services de cloud computing et de stockage de données en ligne.
  • Sites web et applications mobiles proposant des services numériques.

Produits exclus du champ d’application

  • Produits non connectés : Ustensiles de cuisine, meubles, etc.
  • Logiciels purs : Antivirus téléchargeables, systèmes d’exploitation, etc. (sauf s’ils sont intégrés à un produit physique).
  • Produits fabriqués avant l’entrée en vigueur du CRA.

Quelles sont les sanctions encourues en cas de non-conformité ?

Les sanctions prévues par le CRA sont multiples et peuvent s’avérer très lourdes pour les entreprises défaillantes. Elles comprennent :

  • Des amendes administratives pouvant atteindre jusqu’à 2,5 % du chiffre d’affaires annuel mondial total de l’entreprise ou un montant de 15 millions d’euros, le montant le plus élevé étant retenu.
  • L’obligation de mettre fin à la non-conformité constatée, sous peine d’astreintes financières quotidiennes.
  • La restriction ou l’interdiction de la mise à disposition sur le marché du produit non conforme.
  • Le rappel ou le retrait du produit non conforme déjà mis sur le marché.

Quels sont les impacts du Cyber Resilience Act ?

Impacts positifs du CRA

Amélioration de la sécurité des produits numériques

Exigences de sécurité renforcées
  • Les fabricants devront mettre en place des mesures de sécurité tout au long du cycle de vie du produit, de la conception à la mise à jour en fin de vie.
  • Cela inclut des mesures pour protéger contre les attaques courantes, telles que les injections de code, les débordements de mémoire et les attaques par déni de service.
  • Les produits devront également être conformes aux normes de sécurité reconnues.
Produits plus sécurisés dès le départ
  • L’accent mis sur la sécurité dès la phase de conception devrait conduire à une réduction du nombre de vulnérabilités dans les produits numériques.
  • Cela devrait rendre plus difficile pour les pirates informatiques de cibler ces produits.
Mises à jour de sécurité pendant toute la durée de vie
  • Les fabricants seront tenus de fournir des mises à jour de sécurité régulières pour leurs produits, même après la fin de la prise en charge commerciale.
  • Cela permettra de corriger les vulnérabilités découvertes après la mise sur le marché des produits.

Renforcement de la transparence pour les consommateurs

Meilleure information sur les capacités de sécurité
  • Les fabricants devront fournir aux consommateurs des informations claires et accessibles sur les fonctionnalités de sécurité de leurs produits.
  • Cela permettra aux consommateurs de faire des choix éclairés lors de l’achat de produits numériques.
Étiquetage de sécurité
  • La Commission européenne est chargée de développer un système d’étiquetage de sécurité pour les produits numériques.
  • Cet étiquetage permettra aux consommateurs de comparer facilement le niveau de sécurité de différents produits.

Accroissement de la coopération entre les autorités

Création d’un centre européen de cybersécurité
  • Ce centre sera chargé de coordonner les efforts des États membres en matière de cybersécurité.
  • Il facilitera également le partage d’informations sur les menaces et les vulnérabilités.
Amélioration de la collaboration entre les États membres
  • Le CRA prévoit un certain nombre de mesures pour améliorer la collaboration entre les États membres en matière de cybersécurité.
  • Cela inclut le partage de ressources et d’expertise, ainsi que la coordination des enquêtes sur les cyberattaques.

Impacts négatifs du CRA

Charge administrative et financière pour les entreprises

Coûts de conformité
  • Les nouvelles exigences du CRA pourraient s’avérer coûteuses pour les entreprises, en particulier pour les PME.
  • Ces coûts pourraient inclure la mise en place de nouvelles mesures de sécurité, la formation du personnel et la réalisation d’audits de sécurité.
Complexité administrative
  • Les entreprises peuvent trouver difficile de se conformer aux exigences complexes du CRA.
  • Cela pourrait conduire à une augmentation des coûts juridiques et de conseil.

Complexité de la mise en œuvre

Définition des exigences de sécurité
  • Il pourrait être difficile de définir des exigences de sécurité spécifiques pour chaque catégorie de produits numériques.
  • Cela pourrait conduire à des incohérences dans la mise en œuvre entre les États membres.
Charge de la preuve
  • Il pourrait être difficile pour les entreprises de prouver qu’elles sont en conformité avec les exigences du CRA.
  • Cela pourrait conduire à des litiges entre les entreprises et les autorités nationales.

Risque d’étouffement de l’innovation

Exigences strictes
  • Des exigences de sécurité trop strictes pourraient freiner le développement de nouveaux produits et services numériques.
  • Les entreprises pourraient être moins enclines à innover s’elles doivent se conformer à des exigences coûteuses et complexes.
Manque de flexibilité
  • Le CRA pourrait ne pas être suffisamment flexible pour s’adapter aux menaces et aux technologies en constante évolution.
  • Cela pourrait rendre les produits européens moins compétitifs sur le marché mondial.
More

Comment

Your email address will not be published.