La cybersécurité des produits connectés est aujourd’hui une priorité impérative pour l’Union européenne. Adopté le 20 novembre 2024, le Cyber Resilience Act marque une étape décisive en imposant pour la première fois des exigences minimales de sécurité pour tous les produits connectés vendus dans l’UE. Ce règlement, qui complète des cadres législatifs comme la directive NIS 2 (Network and Information Security), la directive REC (Résilience des entités critiques) et le règlement DORA (Digital Operational Resilience Act), vise à créer un environnement numérique plus sécurisé et harmonisé.
1 – Une réglementation ambitieuse pour des produits plus sûrs
Le Cyber Resilience Act impose aux fabricants de respecter plusieurs obligations essentielles :
- Garantir des mises à jour de sécurité pendant cinq ans afin de protéger les appareils contre des vulnérabilités nouvelles et émergentes.
- Assurer des configurations sécurisées par défaut, limitant les risques liés à des paramètres initiaux non adaptés.
- Notifier rapidement les vulnérabilités identifiées aux autorités compétentes, facilitant une réponse coordonnée aux incidents de sécurité.
Les produits connectés devront également être accompagnés d’une déclaration de conformité, d’un marquage CE et d’un indicateur de risque cyber clair, destiné à informer les consommateurs des niveaux de sécurité.
2 – Un impact majeur pour les entreprises
Le règlement prévoit des sanctions dissuasives pour les entreprises ne respectant pas ces dispositions. Les contrevenants s’exposent à des amendes pouvant atteindre 15 millions d’euros ou 2,5 % de leur chiffre d’affaires mondial. Cette approche rappelle celle adoptée par le RGPD, en insistant sur l’importance d’une conformité stricte.
Bien que le Cyber Resilience Act soit entré en vigueur en décembre 2024, les principales obligations s’appliqueront à partir de fin 2027, après une période de transition de trois ans. Certaines dispositions comme l’obligation de notifier les vulnérabilités, entreront en vigueur plus tôt, notamment en septembre 2026, permettant une mise en conformité progressive pour les entreprises.
3 – Complémentarité avec les cadres existants
Le Cyber Resilience Act s’inscrit dans une stratégie globale de l’Union européenne pour renforcer la cybersécurité. En complétant la directive NIS 2, qui s’applique aux opérateurs de services essentiels et aux fournisseurs de services numériques, ainsi que la directive REC et le règlement DORA, ce texte vise à garantir une approche cohérente et équilibrée.
Ces différents cadres ont pour objectif commun de réduire les risques cyber-électroniques et de renforcer la résilience des acteurs économiques face aux menaces croissantes.
4 – Quels défis pour les entreprises ?
La mise en conformité avec le Cyber Resilience Act représente un véritable défi pour les entreprises, qui devront :
- Investir dans des technologies de pointe pour améliorer la sécurité de leurs produits.
- Mettre en place des processus robustes de surveillance des vulnérabilités.
- Former leurs équipes à une gestion proactive de la cybersécurité.
Ces efforts visent à réduire les risques à long terme et à renforcer la confiance des consommateurs.
5 – Vers une responsabilité accrue
Le Cyber Resilience Act reflète l’engagement de l’Union européenne à protéger ses citoyens dans un monde numérique en constante évolution. En exigeant des mesures proactives de la part des fabricants, ce règlement contribue à une responsabilisation accrue des acteurs économiques.
Pour les entreprises, cette législation représente une opportunité de se différencier par une approche innovante et sécurisée, tout en répondant aux attentes croissantes des consommateurs en matière de cybersécurité.
Conclusion
Le Cyber Resilience Act constitue une avancée majeure pour la cybersécurité en Europe. En instaurant des exigences de sécurité minimales pour les produits connectés, il fixe un cadre clair et ambitieux pour protéger les citoyens européens contre les cybermenaces.
Pour en savoir plus / sources : https://www.ibf-solutions.com/fr/articles-techniques/le-nouveau-reglement-sur-la-cyberresilience-2024/2847 |
Depuis le 1er mars 2024, le cadre réglementaire des promotions sur les produits de grande consommation a été profondément modifié. Jusque-là limité aux produits alimentaires, l’encadrement des promotions s’étend désormais à l’ensemble des produits de grande consommation, impactant ainsi les stratégies commerciales des entreprises, notamment dans le secteur du e-commerce. Cette réforme, issue de la loi Descrozaille / Egalim 3 du 30 mars 2023, vient compléter et modifier les dispositions de la loi Asap du 7 décembre 2020. Dans ce contexte, la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DGCCRF) veille à l’application stricte de ces nouvelles obligations, afin de garantir une concurrence loyale et une meilleure information des consommateurs.
Le week-end du 23 et 24 novembre 2024, un cybercriminel a affirmé avoir piraté la Banque de France et être en possession de données sensibles concernant ses clients et ses salariés. En réponse à ces déclarations, l'institution a précisé qu'aucune "attaque sur le système d'information sécurisé" n'avait été constatée, tout en reconnaissant une intrusion sur son extranet.
Le Comité Européen de la Protection des Données (CEPD) a adopté, le 3 décembre 2024, de nouvelles lignes directrices visant à encadrer les transferts de données personnelles en dehors de l’Union Européenne (UE). Ces orientations, qui s'inscrivent dans le prolongement du RGPD, rappellent les exigences strictes auxquelles doivent se conformer les entreprises pour garantir une protection équivalente des données, même en dehors du territoire européen.
Le Comité Européen de la Protection des Données (CEPD) a publié son avis 28/2024 portant sur le traitement des données personnelles dans le cadre du développement et du déploiement de modèles d’intelligence artificielle (IA). Cet avis souligne l’importance de la conformité au Règlement Général sur la Protection des Données (RGPD) et s’articule autour de trois axes principaux : l’anonymat des modèles d’IA, l’utilisation de l’intérêt légitime comme base juridique, et les conséquences de l’entraînement illicite des modèles sur des données personnelles.