La cybersécurité des produits connectés est aujourd’hui une priorité impérative pour l’Union européenne. Adopté le 20 novembre 2024, le Cyber Resilience Act marque une étape décisive en imposant pour la première fois des exigences minimales de sécurité pour tous les produits connectés vendus dans l’UE. Ce règlement, qui complète des cadres législatifs comme la directive NIS 2 (Network and Information Security), la directive REC (Résilience des entités critiques) et le règlement DORA (Digital Operational Resilience Act), vise à créer un environnement numérique plus sécurisé et harmonisé.
1 – Une réglementation ambitieuse pour des produits plus sûrs
Le Cyber Resilience Act impose aux fabricants de respecter plusieurs obligations essentielles :
- Garantir des mises à jour de sécurité pendant cinq ans afin de protéger les appareils contre des vulnérabilités nouvelles et émergentes.
- Assurer des configurations sécurisées par défaut, limitant les risques liés à des paramètres initiaux non adaptés.
- Notifier rapidement les vulnérabilités identifiées aux autorités compétentes, facilitant une réponse coordonnée aux incidents de sécurité.
Les produits connectés devront également être accompagnés d’une déclaration de conformité, d’un marquage CE et d’un indicateur de risque cyber clair, destiné à informer les consommateurs des niveaux de sécurité.
2 – Un impact majeur pour les entreprises
Le règlement prévoit des sanctions dissuasives pour les entreprises ne respectant pas ces dispositions. Les contrevenants s’exposent à des amendes pouvant atteindre 15 millions d’euros ou 2,5 % de leur chiffre d’affaires mondial. Cette approche rappelle celle adoptée par le RGPD, en insistant sur l’importance d’une conformité stricte.
Bien que le Cyber Resilience Act soit entré en vigueur en décembre 2024, les principales obligations s’appliqueront à partir de fin 2027, après une période de transition de trois ans. Certaines dispositions comme l’obligation de notifier les vulnérabilités, entreront en vigueur plus tôt, notamment en septembre 2026, permettant une mise en conformité progressive pour les entreprises.
3 – Complémentarité avec les cadres existants
Le Cyber Resilience Act s’inscrit dans une stratégie globale de l’Union européenne pour renforcer la cybersécurité. En complétant la directive NIS 2, qui s’applique aux opérateurs de services essentiels et aux fournisseurs de services numériques, ainsi que la directive REC et le règlement DORA, ce texte vise à garantir une approche cohérente et équilibrée.
Ces différents cadres ont pour objectif commun de réduire les risques cyber-électroniques et de renforcer la résilience des acteurs économiques face aux menaces croissantes.
4 – Quels défis pour les entreprises ?
La mise en conformité avec le Cyber Resilience Act représente un véritable défi pour les entreprises, qui devront :
- Investir dans des technologies de pointe pour améliorer la sécurité de leurs produits.
- Mettre en place des processus robustes de surveillance des vulnérabilités.
- Former leurs équipes à une gestion proactive de la cybersécurité.
Ces efforts visent à réduire les risques à long terme et à renforcer la confiance des consommateurs.
5 – Vers une responsabilité accrue
Le Cyber Resilience Act reflète l’engagement de l’Union européenne à protéger ses citoyens dans un monde numérique en constante évolution. En exigeant des mesures proactives de la part des fabricants, ce règlement contribue à une responsabilisation accrue des acteurs économiques.
Pour les entreprises, cette législation représente une opportunité de se différencier par une approche innovante et sécurisée, tout en répondant aux attentes croissantes des consommateurs en matière de cybersécurité.
Conclusion
Le Cyber Resilience Act constitue une avancée majeure pour la cybersécurité en Europe. En instaurant des exigences de sécurité minimales pour les produits connectés, il fixe un cadre clair et ambitieux pour protéger les citoyens européens contre les cybermenaces.
Pour en savoir plus / sources : https://www.ibf-solutions.com/fr/articles-techniques/le-nouveau-reglement-sur-la-cyberresilience-2024/2847 |
Alors que le règlement européen sur l’intelligence artificielle n’est pas encore pleinement entré en application, la Commission européenne a présenté une proposition de modification destinée à en faciliter la mise en œuvre. Inscrite dans un ensemble plus large de mesures dites « omnibus », cette initiative vise à répondre aux inquiétudes exprimées par les acteurs du numérique. Elle soulève toutefois une question centrale : s’agit-il d’une simplification technique ou d’une inflexion plus profonde des ambitions initiales du texte ?
Le Conseil d’État a rejeté le recours formé par Yahoo EMEA contre la sanction prononcée par la CNIL le 29 décembre 2023 : l’amende de 10 millions d’euros est définitivement confirmée. Une décision structurante, tant sur la compétence de la CNIL que sur les exigences de consentement libre et effectif en matière de cookies.
La Commission européenne a présenté une proposition de règlement visant à créer un Portefeuille Européen d’Identité Numérique “Affaires” (PEIN Affaires). Après le portefeuille destiné aux personnes physiques, cette initiative marque une nouvelle étape dans la structuration de l’identité numérique professionnelle à l’échelle de l’Union européenne.
La Commission nationale de l’informatique et des libertés a publié une nouvelle recommandation relative au consentement aux cookies dans les environnements multi-terminaux. Désormais, lorsque l’utilisateur est connecté à son compte, son choix en matière de traceurs peut s’appliquer à l’ensemble de ses appareils. Une évolution qui oblige les acteurs de la publicité en ligne à adapter leurs pratiques.