Le Conseil de l’UE a adopté le 10 octobre, le règlement Cyber résilience act (CRA). Ce texte majeur impose la sécurité numérique à tous les produits digitaux. De nombreuses entreprises, grandes ou petites de l’UE ou hors UE, sont concernées.
Le CRA vise à compléter NIS2 et DORA en renforçant la cybersécurité des produits intégrant des éléments numériques. Il impose des exigences minimales de sécurité à tous produits numériques : caméras connectées, réfrigérateurs intelligents, téléviseurs et jouets connectés… avant leur mise sur le marché de l’Union européenne.
De manière générale, le CRA couvre les organisations qui réalisent :
– Des produits physiques (hardware) dotés de fonctionnalités connectées : smartphones, ordinateurs portables, caméras domestiques, montres connectées, jouets connectés, modems, pare-feu, compteurs intelligents…
– Des logiciels (software) commercialisés séparément des produits physiques, tels que les logiciels de comptabilité, jeux en ligne ou applications mobiles…
Les logiciels libres non commerciaux sont exclus du règlement. Cependant, les logiciels libres distribués à des fins commerciales devront respecter les règles du CRA, à l’exception des projets gérés par des fondations open source, qui bénéficient d’un régime spécial.
Les produits intégrant des logiciels libres devront garantir que ces logiciels sont sécurisés afin de limiter les risques liés à la chaîne d’approvisionnement.
Les services cloud et SaaS sont également hors du champ d’application car couverts par la directive NIS2. Les produits pour lesquels des exigences de cybersécurité sont déjà définies dans les règles européennes existantes sont également exclus, par exemple les dispositifs médicaux, les produits aéronautiques et les voitures.
Les obligations
Le CRA a également une portée extraterritoriale. Tous les fabricants, qu’ils soient basés dans l’UE ou non, devront se conformer aux exigences du CRA pour mettre leurs produits sur le marché européen. Par exemple, un développeur américain d’applications mobiles ou de logiciels ou un fabricant chinois de panneaux solaires devront se conformer au CRA s’ils vendent leurs produits en Europe.
De la même manière, les distributeurs et les importateurs devront également respecter ces exigences. Tous les produits connectés ne seront pas soumis aux mêmes procédures d’évaluation. Ceux considérés comme sensibles en matière de cybersécurité (par exemple, les pare-feu ou gestionnaires de mots de passe) devront se conformer à des procédures plus strictes, comme une certification obligatoire ou une évaluation par un tiers.
Le règlement s’appliquera à tous les produits connectés directement ou indirectement à un autre appareil ou à un réseau.
Trois catégories d’exigences sont établies
-Cybersécurité dès la conception et par défaut : les produits doivent intégrer des mécanismes de sécurité avant leur commercialisation, par exemple via le chiffrement des données sensibles ou la réduction de la surface d’attaque.
-Gestion des vulnérabilités : les fabricants doivent assurer la sécurité des produits tout au long de leur cycle de vie, incluant les mises à jour automatiques de sécurité par défaut.
-Surveillance du marché : selon la criticité du produit, les fabricants devront procéder à une auto-évaluation ou obtenir des certifications externes via des audits indépendants.
L’ambition est de fournir aux utilisateurs des produits dans l’UE qui respectent des normes minimales, sans vulnérabilité majeure ou paramètre par défaut inadéquat.
Les entreprises devront indiquer jusqu’à quelle date des mises à jour de sécurité seront fournies, notamment pour faciliter la comparaison des prix, caractéristiques, mais aussi la durabilité des produits et leur sécurité. Par exemple, un développeur américain d’applications mobiles ou un fabricant chinois de panneaux solaires doivent se conformer au CRA s’ils vendent leurs produits en Europe. En outre, les distributeurs et importateurs devront également respecter ces exigences.
La sécurité dès l’origine
Le CRA introduit un cadre réglementaire avec des exigences de cybersécurité pour tous les produits connectés. Les principes de cybersécurité dès la conception et par défaut sont le moteur du règlement :
– Les données sensibles doivent être protégées, notamment par chiffrement.
– Les paramètres par défaut doivent minimiser les vulnérabilités, par exemple en interdisant l’utilisation de mots de passe faibles.
– Les mises à jour de sécurité doivent être automatiques pour limiter les risques de sécurité sur la durée de vie du produit.
Une date limite de péremption
Le CRA exige que la date de fin de l’assistance pour les mises à jour de sécurité soit clairement indiquée sur l’emballage ou le produit lui-même. Cela permet aux consommateurs de prendre des décisions éclairées, non seulement sur les fonctionnalités et prix, mais aussi sur la sécurité à long terme des produits. Les produits logiciels et matériels autorisés porteront le marquage CE pour indiquer qu’ils sont conformes aux exigences du règlement.
Les vulnérabilités devront être signalés aux autorités dans un délai de 72 heures, avec une notification rapide en 24 heures en cas d’incident grave. Pour faciliter le signalement, une nouvelle plateforme européenne de notification sera mise en place, coordonnée par l’ENISA et les CSIRT.
Les sanctions
En cas de non-conformité, les autorités de surveillance du marché pourront exiger des opérateurs qu’ils mettent fin à la non-conformité et éliminent le risque. Elles pourront interdire ou restreindre la mise à disposition d’un produit sur le marché ou ordonner le retrait ou le rappel du produit.
Chacune de ces autorités sera en mesure d’infliger des amendes aux entreprises qui ne respectent pas les règles qui pourront atteindre jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial de l’entreprise, selon le montant le plus élevé. Les autorités peuvent exiger que les entreprises publient des notifications publiques concernant les non-conformités détectées.
Une mise en oeuvre progressive
La mise en œuvre du CRA sera progressive, avec plusieurs étapes. 18 mois après l’entrée en vigueur du CRA, a priori au printemps 2026, les organismes d’évaluation seront habilités à vérifier la conformité des produits. À compter de l’été 2026, les fabricants devront déclarer les vulnérabilités et incidents. D’ici à 2027, toutes les exigences du CRA s’appliqueront, y compris les normes minimales avant la commercialisation, la gestion des vulnérabilités et le devoir de transparence envers les utilisateurs.