La cybersécurité des produits connectés est aujourd’hui une priorité impérative pour l’Union européenne. Adopté le 20 novembre 2024, le Cyber Resilience Act marque une étape décisive en imposant pour la première fois des exigences minimales de sécurité pour tous les produits connectés vendus dans l’UE. Ce règlement, qui complète des cadres législatifs comme la directive NIS 2 (Network and Information Security), la directive REC (Résilience des entités critiques) et le règlement DORA (Digital Operational Resilience Act), vise à créer un environnement numérique plus sécurisé et harmonisé.
1 – Une réglementation ambitieuse pour des produits plus sûrs
Le Cyber Resilience Act impose aux fabricants de respecter plusieurs obligations essentielles :
- Garantir des mises à jour de sécurité pendant cinq ans afin de protéger les appareils contre des vulnérabilités nouvelles et émergentes.
- Assurer des configurations sécurisées par défaut, limitant les risques liés à des paramètres initiaux non adaptés.
- Notifier rapidement les vulnérabilités identifiées aux autorités compétentes, facilitant une réponse coordonnée aux incidents de sécurité.
Les produits connectés devront également être accompagnés d’une déclaration de conformité, d’un marquage CE et d’un indicateur de risque cyber clair, destiné à informer les consommateurs des niveaux de sécurité.
2 – Un impact majeur pour les entreprises
Le règlement prévoit des sanctions dissuasives pour les entreprises ne respectant pas ces dispositions. Les contrevenants s’exposent à des amendes pouvant atteindre 15 millions d’euros ou 2,5 % de leur chiffre d’affaires mondial. Cette approche rappelle celle adoptée par le RGPD, en insistant sur l’importance d’une conformité stricte.
Bien que le Cyber Resilience Act soit entré en vigueur en décembre 2024, les principales obligations s’appliqueront à partir de fin 2027, après une période de transition de trois ans. Certaines dispositions comme l’obligation de notifier les vulnérabilités, entreront en vigueur plus tôt, notamment en septembre 2026, permettant une mise en conformité progressive pour les entreprises.
3 – Complémentarité avec les cadres existants
Le Cyber Resilience Act s’inscrit dans une stratégie globale de l’Union européenne pour renforcer la cybersécurité. En complétant la directive NIS 2, qui s’applique aux opérateurs de services essentiels et aux fournisseurs de services numériques, ainsi que la directive REC et le règlement DORA, ce texte vise à garantir une approche cohérente et équilibrée.
Ces différents cadres ont pour objectif commun de réduire les risques cyber-électroniques et de renforcer la résilience des acteurs économiques face aux menaces croissantes.
4 – Quels défis pour les entreprises ?
La mise en conformité avec le Cyber Resilience Act représente un véritable défi pour les entreprises, qui devront :
- Investir dans des technologies de pointe pour améliorer la sécurité de leurs produits.
- Mettre en place des processus robustes de surveillance des vulnérabilités.
- Former leurs équipes à une gestion proactive de la cybersécurité.
Ces efforts visent à réduire les risques à long terme et à renforcer la confiance des consommateurs.
5 – Vers une responsabilité accrue
Le Cyber Resilience Act reflète l’engagement de l’Union européenne à protéger ses citoyens dans un monde numérique en constante évolution. En exigeant des mesures proactives de la part des fabricants, ce règlement contribue à une responsabilisation accrue des acteurs économiques.
Pour les entreprises, cette législation représente une opportunité de se différencier par une approche innovante et sécurisée, tout en répondant aux attentes croissantes des consommateurs en matière de cybersécurité.
Conclusion
Le Cyber Resilience Act constitue une avancée majeure pour la cybersécurité en Europe. En instaurant des exigences de sécurité minimales pour les produits connectés, il fixe un cadre clair et ambitieux pour protéger les citoyens européens contre les cybermenaces.
Pour en savoir plus / sources : https://www.ibf-solutions.com/fr/articles-techniques/le-nouveau-reglement-sur-la-cyberresilience-2024/2847 |
Le 13 novembre 2024, la Défenseure des droits a publié un rapport alarmant sur l’utilisation croissante d’algorithmes au sein des services publics français. Ce document attire l’attention sur les dérives potentielles que pourrait engendrer l’automatisation des décisions administratives. Dans un contexte où les administrations se numérisent à grande vitesse, la question de la protection des droits fondamentaux face aux technologies d’intelligence artificielle devient importante.
Orange, a récemment été victime d’une cyberattaque ciblant sa filiale roumaine. Cette intrusion, confirmé par Orange le 24 février 2025, met en lumière la vulnérabilité persistante des systèmes d’information, même parmi les groupes les plus structurés, et rappelle l’importance d’un encadrement juridique renforcé en matière de cybersécurité.
La protection des données personnelles est au cœur des préoccupations des régulateurs et des citoyens. Récemment, la SNCF s’est retrouvée sous le feu des projecteurs en raison de sa pratique de collecte systématique de la civilité (Madame, Monsieur, âges etc.) de ses clients via son service en ligne SNCF Connect. Une affaire qui a conduit la Cour de justice de l’Union européenne (CJUE) à trancher sur la conformité de cette pratique au regard du RGPD.
Le contrôle des salariés par leur employeur est un sujet sensible encadré par des règles strictes en matière de protection des données personnelles. Si un employeur peut mettre en place des dispositifs de surveillance, il doit impérativement respecter les principes du Règlement général sur la protection des données (RGPD), notamment en matière de proportionnalité, d’information et de sécurité des données. Une récente décision de la CNIL illustre les limites à ne pas franchir.