Les objets connectés présentent régulièrement des failles de sécurité qui peuvent parfois être un vecteur de cyberattaques. Pour palier ce problème, la Commission européenne propose d'imposer un nouveau cadre réglementaire afin d'élever le niveau de sécurité dans l'IoT.

Un nouveau cadre réglementaire pour les objets connectés

Les membres de la Commission européenne proposent aux membres du Parlement européen de voter un nouveau règlement qui couvre les « objets connectés comportant des éléments numériques, définis comme logiciel ou matériel, ainsi que les solutions de traitement de données à distance ». L'objectif est clair : renforcer le niveau de sécurité des objectifs connectés. Les fabricants de produits IoT devront donc se conformer aux nouvelles exigences européennes en matière de conception, de développement et de production avant le lancement d'un appareil sur le marché.

Selon la proposition de loi, « des obligations seront imposées aux différents acteurs économiques, depuis les fabricants jusqu'aux distributeurs et aux importateurs, en ce qui concerne la mise sur le marché des objets connectés, en fonction de leur rôle et de leurs responsabilités dans la chaîne d'approvisionnement ». La liste des exigences comprend un niveau approprié de cybersécurité, l'interdiction de lancer des produits présentant une vulnérabilité connue, la protection contre les accès non autorisés, la limitation des surfaces d'attaque et la minimisation de l'impact des incidents.

La Commission européenne veut plus de sécurité dans l'IoT

Comme le rappelle la Commission européenne avec ce texte, l’humain n’est pas le seul maillon faible dans le domaine de la cybersécurité. En effet, les objets connectés sont aussi vulnérables aux cyberattaques. Selon le cadre réglementaire proposé, les objets connectés doivent « garantir la confidentialité des données », notamment en utilisant le chiffrement, en protégeant leur intégrité et en ne traitant que les données strictement nécessaires à leur fonctionnement. La Commission souhaite également établir une liste des produits critiques présentant un risque plus élevé.

Ces objets connectés seront divisés en deux classes avec un processus spécifique d’évaluation de la conformité pour chacune des classes. Les entreprises concernées devront obtenir des certificats obligatoires attestant qu'elles répondent aux nouvelles exigences européennes en matière de cybersécurité. Selon le texte, celles qui ne respecteront pas le règlement seront « passibles d'une amende pouvant atteindre 15 millions d'euros ou 2,5 % du chiffre d'affaires mondial de l'année précédente ».