La loi de l’UE sur la cyber-résilience établit une norme mondiale pour les produits connectés

La loi sur la cyber-résilience proposée par l’Union européenne (UE) constituera le noyau d’une norme mondiale pour les appareils et logiciels connectés qui aura un impact bien au-delà des frontières du bloc, y compris au Royaume-Uni, selon des experts en sécurité.

Présentée le 15 septembre 2022 par la Commission européenne (CE), après avoir été annoncée pour la première fois par la présidente Ursula von der Leyen il y a 12 mois, la loi s’appuie sur la stratégie de cybersécurité et la stratégie de l’UNION de la sécurité de l’UE.

Il garantira que les produits numériques tels que les produits sans fil et câblés, ainsi que les logiciels qu’ils exécutent, sont rendus plus sûrs pour les consommateurs dans l’ensemble de l’UE.

À l’instar du projet de loi britannique sur la sécurité des produits et l’infrastructure des télécommunications – actuellement en cours d’examen à la Chambre des Lords – il impose des exigences et des obligations obligatoires en matière de cybersécurité aux fabricants en les obligeant à fournir un support de sécurité continu et des correctifs logiciels, et à fournir suffisamment d’informations aux consommateurs sur la sécurité de leurs produits.

« Nous méritons de nous sentir en sécurité avec les produits que nous achetons dans le marché unique. Tout comme nous pouvons faire confiance à un jouet ou à un réfrigérateur avec un marquage CE, la Cyber Resilience Act garantira que les objets et logiciels connectés que nous achetons sont conformes à de solides mesures de cybersécurité. Il mettra la responsabilité là où elle doit être, avec ceux qui mettent les produits sur le marché », a déclaré Margrethe Vestager, vice-présidente exécutive pour une Europe adaptée à l’ère numérique.

Thierry Breton, commissaire européen chargé du marché intérieur, a ajouté: « En matière de cybersécurité, l’Europe n’est aussi forte que son maillon le plus faible: qu’il s’agisse d’un État membre vulnérable ou d’un produit dangereux tout au long de la chaîne d’approvisionnement.

« Ordinateurs, téléphones, appareils électroménagers, appareils d’assistance virtuelle, voitures, jouets… chacun de ces centaines de millions de produits connectés est un point d’entrée potentiel pour une cyberattaque – et pourtant, aujourd’hui, la plupart des produits matériels et logiciels ne sont soumis à aucune obligation de cybersécurité. En introduisant la cybersécurité dès la conception, le cyber-résilience contribuera à protéger l’économie européenne et notre sécurité collective. »

La CE a déclaré que les nouvelles règles rééquilibreraient la responsabilité en matière de sécurité vis-à-vis des fabricants qui seront tenus de veiller à ce qu’ils se conforment aux nouvelles exigences, ce qui profiterait en fin de compte aux utilisateurs finaux dans l’ensemble de l’UE en renforçant la transparence, en promouvant la confiance et en assurant une meilleure protection des droits fondamentaux à la vie privée.

La CE a reconnu que la loi est susceptible de devenir un point de référence international au-delà du marché intérieur de l’UE, et Kieron Holyome, vice-président de BlackBerry pour le Royaume-Uni et l’Irlande, l’Europe de l’Est, le Moyen-Orient et l’Afrique, a souscrit à ce point de vue.

« Aujourd’hui, alors que l’UE lance sa cyber-résilience act pour protéger les consommateurs et les entreprises européens contre les risques causés par des produits numériques non sécurisés, le Royaume-Uni doit s’asseoir et en prendre note. Cet acte ne doit pas être considéré comme une exigence européenne, mais en fait comme une nouvelle norme mondiale », a déclaré Holyome.

« La nouvelle loi de l’UE souligne en outre que les organisations britanniques doivent prendre des mesures, en particulier en ce qui concerne l’utilisation d’appareils intelligents potentiellement non sécurisés pour le travail à domicile. En fait, la dernière étude de BlackBerry a révélé que seulement 21% des travailleurs à domicile britanniques disent que leur employeur a établi une politique de cybersécurité pour l’utilisation d’appareils intelligents dans le bureau à domicile. En tant que tel, il existe une énorme ouverture pour les cybercriminels qui cherchent à cibler les entreprises britanniques, avec des répercussions sur les employés eux-mêmes.

« Bien que les appareils intelligents puissent sembler innocents, les mauvais acteurs peuvent facilement accéder aux réseaux domestiques avec des connexions aux appareils de l’entreprise – ou aux données de l’entreprise sur les appareils grand public – et voler la propriété intellectuelle valant des millions. Par conséquent, il est essentiel que les organisations britanniques évaluent dès maintenant leurs défenses en matière de cybersécurité, tout en introduisant des exigences de cybersécurité obligatoires pour les produits matériels et logiciels utilisés par les employés pour le travail à domicile.

Rod Freeman, associé et responsable de la pratique des produits chez Cooley, un cabinet d’avocats, a déclaré: « Les nouvelles règles proposées font partie d’une intervention réglementaire plus large sur la cyberse curité dans l’UE.  Cela signifierait un nouveau niveau beaucoup plus élevé d’examen réglementaire et de responsabilité pour les fabricants de produits connectés. L’impact de la conformité sur l’Internet des objets [IoT] les entreprises de produits ne doivent pas être sous-estimées.

« L’application de la sécurité des produits et la protection des consommateurs étant déjà une priorité majeure dans l’ensemble de l’UE, la loi sur la cyber-résilience ajouterait considérablement au fardeau croissant des défis de conformité et des risques de rappel de produits pour les entreprises fabriquant des produits connectés. Les nouvelles règles amèneront probablement un autre organisme de réglementation dans le domaine de l’application de la loi pour la cybersécurité des relations publiques connectées.oducts problèmes, ce qui rend le paysage juridique beaucoup plus difficile et plus risqué pour les entreprises dans ce domaine. »

L’acte va maintenant être soumis à l’examen du Parlement européen et du Conseil et, une fois adopté, les États membres disposeront du délai habituel de deux ans pour introduire les nouvelles exigences.