Le jeudi 15 septembre 2022, la Commission européenne a proposé un nouveau projet de loi baptisé « Cyber Resilience Act ». Ce texte a pour objectif d'établir des règles de cybersécurité communes pour l’ensemble des « produits comportant des éléments numériques ».

Le Cyber Resilience Act va garantir la sécurité des produits

Après la mise en place de la directive SRI 2 qui vise à améliorer la résilience et les capacités de réaction des entités européennes aux incidents du secteur public comme du secteur privé et de l'Union dans son ensemble, la Commission européenne s'attaque aux « produits numériques ». Dans son communiqué de presse, l'institution estime que « si tout est connecté, tout peut être piraté. Les ressources étant rares, nous devons unir nos forces. C'est pourquoi nous avons besoin d'une politique de cyberdéfense européenne, notamment d'une législation établissant des normes communes dans le cadre d'une nouvelle loi européenne relative à la cyber-résilience ».

Le Cyber Resilience Act est la première législation en matière de cybersécurité à l'échelle de l'Union européenne. Avec ce texte, la Commission veut mettre en place des règles communes de cybersécurité pour les fabricants et les développeurs de produits comportant des éléments numériques, du matériel aux logiciels. Ce texte garantira que « les produits numériques » en vente sur le marché de l'Union européenne sont plus sûrs et que les fabricants respectent des règles précises. Le projet de loi prévoit également d'informer les clients sur les normes de cybersécurité des produits qu'ils achètent et qu'ils utilisent.

Le Cyber Resilience Act jeudi oblige les fabricants à fournir des correctifs et des mises à jour de sécurité pendant toute la durée de vie du produit ou cinq ans après sa mise sur le marché. Les entreprises qui ne respecteront pas ces règles s'exposeront à des amendes pouvant aller jusqu'à 15 millions d'euros, ou 2,5 % du chiffre d'affaires mondial. Selon Thierry Breton, commissaire européen chargé du marché intérieur, « il est important, lorsque vous achetez un produit, que celui-ci ne présente pas de vulnérabilités connues. Ce n'est pas le cas aujourd'hui ».

Les entreprises auront 2 ans pour se mettre en conformité

Les produits concernés par le Cyber Resilience Act devront porter une étiquette indiquant qu'ils sont conformes aux nouvelles règles. La Commission européenne précise que le projet de loi ne couvre pas les dispositifs médicaux ni les voitures. Avant qu'elle ne soit définitivement approuvée, les législateurs doivent négocier les détails de la proposition. Un processus qui pourrait prendre plusieurs mois. Ensuite, les entreprises auront deux ans pour se mettre en conformité.

Le texte présenté par la Commission distingue une catégorie de produits considérés comme « critiques ». Environ 10 % de l’ensemble des objets concernés par la régulation. On y retrouve notamment les produits et les services jouant un rôle central dans la sécurité des réseaux « ou ceux dont les failles de sécurité présentent un risque pour un grand nombre de personnes ». C'est par exemple le cas des antivirus, des gestionnaires de mots de passe ou encore des VPN.

Selon Paolo Falcioni, directeur général d'Applia, une association de fabricants d'appareils ménagers basée à Bruxelles, « certains fabricants craignent que les examens de sécurité effectués par des tiers ne retardent le lancement de produits ». Les associations de défense des consommateurs, quant à eux, estiment que la liste des produits critiques devrait être plus longue. L'année dernière, l'association Test-Achats a testé 16 appareils connectés, dont des babyphones, des aspirateurs intelligents et des téléviseurs intelligents. 10 d'entre eux présentaient de graves failles de sécurité.