Le Cyber Resilience Act vise à établir un cadre juridique cohérent et uniforme en matière d’exigences de cybersécurité. Un texte qui pourrait rebattre les cartes pour l’ensemble des organisations EU.
Le 15 septembre, la Commission européenne dévoilait sa proposition de réglementation “sur les exigences horizontales en matière de cybersécurité pour les produits contenant des éléments numériques”, plus communément connue sous le nom de “Cyber Resilience Act“ (CRA). L’impact lié à l’introduction de ce texte au sein de l’ordre juridique européen ne sera pas anodin dans la mesure où il vise à créer un nouveau paradigme uniforme et cohérent d’exigences en matière de cybersécurité pour l’intégralité des produits présentant une composante numérique.
Le constat établi par la Commission européenne dans l’exposé des motifs de la proposition est clair : les cyberattaques sur les produits à composante numérique sont devenues, aujourd’hui plus que jamais, un enjeu à la fois social, politique, et économique majeur.
La multiplication de telles attaques démontre deux problèmes fondamentaux, auxquels la proposition de texte doit répondre :
Aucune législation dédiée, cohérente et uniforme n’existe en l’état au sein de l’Union européenne afin de remédier à cet état de fait peu satisfaisant. S’il est vrai que certaines législations couvraient jusqu’à présent des catégories particulières de produits numériques (voir les exemples ci-dessous), la plupart d’entre eux échappent aujourd’hui à un paradigme légal définissant des exigences de cybersécurité à respecter – ainsi que les sanctions accompagnant leur violation. Il s’agit précisément de ce vide juridique que le Cyber Resilience Act vise à combler.
Au vu des éléments de contexte évoqués ci-dessus, il n’est pas surprenant que le champ d’application matériel de la proposition soit défini de manière particulièrement large. Ainsi, la proposition de la Commission européenne s’applique aux produits à composante digitale dont l’utilisation actuelle ou raisonnablement prévisible inclut une connexion directe ou indirecte, physique ou logicielle, à un réseau ou à un autre appareil (Article 2 CRA).
Plus concrètement, la Commission précise, peu après dans le texte, que cette définition est formulée de manière à couvrir "l’intégralité des produits numériques logiciels et matériels, ainsi que les solutions de traitements de données qui y sont associées" (Article 3 CRA).
Certaines exceptions notables sont cependant définies par le texte. Ainsi, ne seront pas soumis aux obligations du Cyber Resilience Act :
Si le champ d’application matériel du Cyber Resilience Act est, comme nous venons de le voir, assez précisément défini, aucune indication relative à son champ d’application territorial n’est présente dans le texte.
Ainsi, une question de taille subsiste : les entreprises non-européennes seront-elles soumises aux exigences du texte lorsqu’elles souhaiteront vendre des produits à composante numérique en Europe ? Si le texte lui-même ne permet pas d’apporter une réponse claire et définitive, l’esprit du Cyber Resilience Act, l’étendue de son application matérielle, ainsi que la position adoptée sur le sujet par d’autres textes aux ambitions similaires comme le Règlement Général sur la Protection des données (RGPD) semblent indiquer une volonté d’application extraterritoriale.
Pour plus de clarté et de sécurité juridique, le Cyber Resilience Act gagnerait certainement à expliciter cet élément dans le corps de son texte.
Le cœur du Cyber Resilience Act réside dans la série d’obligations définies dans l’annexe 1 du texte, “Essential Cybersecurity Requirements”. Les produits à composante digitale ne peuvent être mis à disposition sur le marché européen qu’à la condition de respecter l’ensemble de ces différentes obligations (Article 5 CRA).
Cette annexe est divisée en deux parties.
> La première se rapporte aux "caractéristiques du produit" en lui-même et vise à prévenir la commercialisation de produits présentant des vulnérabilités avérées ou potentielles. Cette série d’obligations comporte par exemple les éléments suivants :
> La seconde série d’obligations dans l’annexe 1 du Cyber Resilience présente Act concerne "la gestion des vulnérabilités" découvertes au sein d’un produit à composante digitale. Il s’agit cette fois de standardiser et de rendre plus efficaces les processus mis en place par les acteurs économiques lorsqu’ils doivent traiter d’une vulnérabilité présentée par leur produit. Quelques illustrations de ces obligations :
Les obligations relatives aux produits en eux-mêmes sont complétées par des obligations de transparence à destination des utilisateurs, cette fois présentées en Annexe 2 du CRA, “Information and Instruction to the User”. Comme mentionné en introduction, l’objectif du Cyber Resilience Act ne se limite pas à une sécurisation purement technique du produit, mais vise à compléter cette dernière en impliquant l’utilisateur et en lui donnant les informations nécessaires pour comprendre les enjeux de sécurité liés à ces produits. Ainsi, les obligations de transparence incluent notamment la mise à disposition d’un point de contact dédié aux signalements et à la communication de vulnérabilités, la communication de circonstances ou d’utilisations d’un produit pouvant présenter des risques de sécurité, ou encore la diffusion publique d’instructions détaillées sur les procédures de désinstallation du produit et de suppression définitive des données utilisateurs associées.
L’ensemble des obligations décrites ci-dessus s’appliquent différemment selon le positionnement de l’opérateur économique au sein de la chaîne d’approvisionnement. Ainsi, le Cyber Resilience Act distingue trois catégories d’opérateurs économiques : fabricant, importateur, ou distributeur. Le cœur des obligations restent cependant similaires, et seules les modalités d’application varient selon lesdites catégories (pour plus d’informations sur ce point, voir Articles 10 à 17 du CRA).
Il est important de remarquer, suite à cette présentation générale des obligations de cybersécurité définies par le Cyber Resilient Act, que ce texte n’a pas pour objectif de définir des standards ou des exigences techniques spécifiques relatives aux produits à composante numérique.
Les obligations décrites ci-dessus restent des obligations générales, organisationnelles, et ne rentrent pas dans des détails d’implémentation technique. Une telle approche est cohérente avec l’objectif du texte, qui vient combler un vide juridique en définissant une exigence cohérente et uniforme en matière de respect de standards minimaux de cybersécurité – et non de définir ces standards. Le paragraphe suivant aborde cette distinction avec plus de détails.
Dans la lignée du principe d’accountability posé par le RGPD, un opérateur économique sujet aux obligations définies par le Cyber Resilience Act doit être en mesure de démontrer le respect desdites obligations. Cependant, comme relevé précédemment, le Cyber Resilience Act reste général dans sa lettre, et ne définit pas lui-même de standards techniques permettant véritablement d’assurer la conformité d’un produit aux obligations qu’il définit. Typiquement, le Cyber Resilience Act exige d’un produit l’implémentation de mécanismes de contrôle d’accès efficients ou bien la minimisation de la surface d’exposition externe. Comment traduire ces exigences d’un point de vue technique afin de démontrer sa conformité ?
Le Cyber Resilience Act indique que la démonstration du respect de ses obligations doit s’appuyer sur des standards harmonisés pré-existants (voir par exemple les standards de l’ENISA), ou des mécanismes de certification également pré-existants (voir, pour plus de détails, l’EU Cybersecurity Certification Framework). Plus concrètement, afin de démontrer sa conformité, un opérateur économique devra publier une déclaration de conformité (voir Annexe IV du CRA) visant un standard ou une certification européenne spécifique assurant le respect des obligations définies par le Cyber Resilience Act.
Le contrôle de la validité de cette déclaration de conformité (et donc notamment de l’adéquation réelle du niveau de sécurité des produits d’un opérateur économique avec le standard ou la certification visée) peut être effectué selon plusieurs procédures distinctes, en fonction du niveau de risque présenté par le produit. Ces procédures vont du simple contrôle interne pour les produits ne présentant pas de risque particulier, à une procédure d’assurance qualité complète pour les produits les plus critiques. Pour plus de détails sur ces procédures, voir Annexe VI du CRA.
La mise en application du Cyber Resilience Act sera assurée, à l’échelon européen, par la Commission européenne et l’ENISA (Agence de l'Union européenne pour la cybersécurité). Aux échelons nationaux, les États Membres seront chargés de désigner une autorité responsable de l’application du Cyber Resilience Act*.
Les pouvoirs de contrôle et de surveillance mis à la disposition des autorités nationales afin de faire respecter le Cyber Resilience Act sont conséquents. Tout particulièrement, l’article 49 du Cyber Resilience Act prévoit un mécanisme nommé “sweep”. Un sweep consiste en une action de contrôle coordonnée par la Commission européenne et opérée par l’ensemble ou une partie des autorités nationales de manière simultanée sur un produit particulier ou une catégorie particulière de produits à composante numérique. Il s’agit d’une procédure de contrôle drastique, dans le sens où il s’agit d’un contrôle inopiné, non-annoncé, opéré à grande échelle et effectué par les autorités nationales en étroite coopération.
Les sanctions prévues par le Cyber Resilience Act en cas de violation des obligations définies par le texte suit le modèle de la législation européenne récente : ainsi, les amendes administratives pour non-respect du Cyber Resilience Act peuvent atteindre un montant maximum de 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial total de l’année passée, le montant le plus élevé étant retenu. Des montants élevés, visant principalement à provoquer un effet dissuasif.
La proposition de la Commission Européenne pour le Cyber Resilience Act vise à établir un nouveau paradigme légal en matière d’exigences de cybersécurité pour les entreprises, et se donne incontestablement les moyens pour le faire. Le texte prévoit une période de transition de 24 mois (12 seulement pour les obligations de l’article 11 prévoyant les obligations de reporting des fabricants) afin que les opérateurs économiques sujets à cette législation se mettent en conformité avec les obligations définies par cette législation. Au-delà de cette période, les insuffisantes précautions contre les vulnérabilités des objets à composante numérique ainsi que les brèches de sécurité ne seraient plus seulement des problèmes économiques ou marketing, mais aussi légaux. Les bonnes pratiques en termes de cybersécurité ne seraient plus un luxe, ou l’objet d’un calcul coûts – avantages : il s’agirait d’une obligation légale accompagnée de sanctions réelles, un changement de paradigme drastique dans le monde de la cybersécurité.
* Dans le cas où aucun standard approprié n’existerait pour un produit ou une catégorie de produit, la Commission européenne se voit attribué le droit d’en créer – voir Article 19 CRA.
Le 15 septembre, la Commission européenne dévoilait sa proposition de réglementation “sur les exigences horizontales en matière de cybersécurité pour les produits contenant des éléments numériques”, plus communément connue sous le nom de “Cyber…
Je gère mes abonnements push
Les informations recueillies sont destinées à CCM Benchmark Group pour vous assurer l’envoi de votre newsletter.
Elles seront également utilisées sous réserve des options souscrites, par CCM Benchmark Group à des fins de ciblage publicitaire et prospection commerciale au sein du Groupe Le Figaro, ainsi qu’avec nos partenaires commerciaux.
Le traitement de votre email à des fins de publicité et de contenus personnalisés est réalisé lors de votre inscription sur ce formulaire. Toutefois, vous pouvez vous y opposer à tout moment
Plus généralement, vous bénéficiez d’un droit d’accès et de rectification de vos données personnelles, ainsi que celui d’en demander l’effacement dans les limites prévues par la loi.
Vous pouvez également à tout moment revoir vos options en matière de prospection commerciale et ciblage. En savoir plus sur notre politique de confidentialité ou notre politique Cookies.