La Commission européenne a élaboré une nouvelle proposition de règlement qui s’adresse surtout aux constructeurs d’objets connectés. Le texte enjoint ces fabricants à renforcer la protection de ces appareils pour prévenir les risques de cyberattaque. Les entreprises ciblées seront obligées de demander une certification qui prouve qu’elles se plient aux nouvelles normes européennes de cybersécurité.
Bruxelles suggère de mettre en place un nouveau cadre réglementaire pour renforcer la protection dans l’ Internet des objets (IoT). À travers cette proposition, la Commission européenne entend résoudre le problème de sécurité des objets connectés. Ces derniers montrant fréquemment des vulnérabilités pouvant parfois former un vecteur de menaces. L’Union européenne (UE) a concrètement présenté le 13 septembre dernier sa nouvelle proposition de règlement appelée Cyber Resilience Act (CRA).
Ce texte devrait intéresser les travailleurs indépendants spécialisés dans l’ apprentissage automatique (machine learning) informatique. Ces professionnels pouvant être amenés à exécuter des mission freelance comme l’analyse des données, la réalisation de preuves de concept… Des tâches qui peuvent être liées à l’IoT.
Les objets connectés sont également vulnérables aux cyberattaques
Le CRA devrait être adopté prochainement par le Parlement européen sous l’aspect d’une loi. Il est destiné à contraindre les constructeurs d’objets connectés à améliorer la sécurité de leurs produits. La Commission européenne rappelle avec ce dispositif qu’en matière de cybersécurité, l’humain ne constitue pas l’unique point faible. Ces appareils présentent en effet également des vulnérabilités aux piratages . Le cadre réglementaire que l’institution tente d’établir indique que les objets connectés doivent assurer la confidentialité des informations, en :
- N’exploitant que les données essentielles à leur fonctionnement ;
- Sécurisant leur intégrité ;
- Recourant au cryptage.
Bruxelles désire par ailleurs dresser une liste des machines critiques affichant un risque plus sérieux. Ces objets connectés seront répartis en deux catégories avec un procédé particulier de jaugeage de la conformité pour chacune d’elles. Les sociétés concernées devront détenir des attestations imposées certifiant qu’elles respectent les nouvelles règles de cybersécurité de l’UE . Le CRA prévient que les entreprises en violation du règlement s’exposeront à une amende pouvant s’établir :
- Soit à 2,5 % des revenus mondiaux de l’exercice précédent ;
- Soit à 15 millions d’euros.
La sanction prononcée portera sur le montant le plus conséquent. Si les vulnérabilités sont jugées moins graves, elle sera moins élevée. Reuters rapporte que les constructeurs qui ne se conforment pas aux règles risquent également une expulsion de l’UE.
Des obligations seront imposées aux opérateurs économiques
L’on peut lire dans le CRA que des obligations concernant l’introduction des objets connectés sur le marché seront édictées :
[…] Aux différents acteurs économiques, depuis les fabricants jusqu'aux distributeurs et aux importateurs, […] en fonction de leur rôle et de leurs responsabilités dans la chaîne d'approvisionnement.
Les producteurs d’objets connectés devront ainsi aviser l’ENISA, l’agence de cybersécurité de l’UE, dans les 24h suivant l’identification d’un problème. Le texte leur exige aussi de ne pas se contenter d’une bonne sécurité de base . Ils sont de plus appelés à adopter les précautions requises pour résoudre les problèmes dès leur naissance. Ces fabricants sont alors contraints de développer une mise à jour afin de pallier les brèches logicielles. La liste des obligations inclut par ailleurs :
- La minimisation de la répercussion des cyberattaques ;
- L’amoindrissement des surfaces d’exposition ;
- L’interdiction de commercialiser des machines sujettes à une faille répertoriée.
Les importateurs devront, quant à eux, contrôler la conformité des appareils aux standards de cybersécurité de l’UE .
Le Cyber Resilience Act s’applique aux outils de traitement d’informations à distance. Il couvre aussi les objets connectés comprenant des éléments digitaux, qualifiés de hardware ou de software.