Réfrigérateurs, télévisions, jouets… De plus en plus d’objets du quotidien sont connectés, augmentant par ricochet la surface d’attaque cyber disponible pour des personnes malintentionnées. Face à ce problème et pour unifier les législations nationales, la Commission européenne a proposé un règlement sur la cyber résilience en septembre 2022. Le Conseil de l’Union européenne et le Parlement se sont mis d’accord sur le texte dans la soirée du jeudi 30 novembre.
Les objets connectés du quotidien seront mieux protégés des risques cyber…
« L’accord intervenu ce jour constitue une étape importante vers un marché unique numérique sûr et sécurisé en Europe » s’est félicité, José Luis Escriva, ministre espagnol de la transformation numérique, dans un communiqué. L’Espagne, à la tête tournante du Conseil de l’UE, représentant les États membres, est parvenue à un compromis avec les émissaires des députés européens.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Les fabricants de produits matériels ou logiciels directement ou indirectement connectés vont devoir assurer un niveau minimum de cybersécurité. Le Parlement européen s’est félicité d’avoir pu étendre les produits concernés, avec les gestionnaires de mots de passe, les logiciels de gestion d’identités ou encore les caméras de sécurité privées.
Lors d’un entretien avec Siècle Digital, Gérôme Billois, associé en cybersécurité au Cabinet Wavestone, faisait de cette sécurité « By Design », une priorité, « aujourd’hui c’est frappant, vous achetez un logiciel de gestion comptable, la sécurité n’est pas intégrée. C’est comme dans les années 70 quand, à l’achat d’une voiture, les ceintures de sécurité étaient une option. »
… Dans 3 ans
Nicola Danti, député du parti européen Renew, centriste, a mis en avant que l’action du Parlement sur « les chaînes d’approvisionnement en s’assurant que des produits clés tels que les routeurs et les antivirus soient identifiés comme prioritaires pour la cybersécurité ». Il mentionne également le soutien aux petites entreprises, avoir répondu aux inquiétudes de la communauté open-source, tout en gardant un texte ambitieux.
Les fabricants devront évaluer les risques de leurs produits, présenter une déclaration de conformité et assurer une protection d’au moins cinq ans ou toute la durée de vie si elle est inférieure à ce délai. Ces informations seront à transmettre aux autorités nationales.
Le rôle de l’Agence de l’UE pour la cybersécurité (ENISA) se voit renforcé. Les États membres devront lui signaler des vulnérabilités et incidents. Elle devra les évaluer et répandre l’information si elle décèle un problème systémique.
Des réunions techniques doivent encore régler les derniers détails du texte. Une fois que cela sera terminé, un vote formel du Conseil de l’UE et du Parlement européen validera son adoption. Les entreprises auront trois ans après l’entrée en vigueur pour se mettre à la page.