La réglementation des objets connectés dans l’Union Européenne

Qui n’est pas en possession d’un seul objet connecté ? En 2022, de plus en plus d’objets le sont : montres, voitures, électroménager… Ceci augmente d’autant plus le risque de cyberattaques. En effet, si on pense généralement à protéger son ordinateur ou son téléphone portable, on oublie souvent ses objets connectés. La Commission Européenne a décidé de réglementer enfin la cybersécurité de ce marché sur le territoire. Zoom sur le Cyber Resilience Act, destiné à sécuriser les objets connectés.

Les foyers dans le monde entier possèdent 12,2 milliards d’objets connectés. C’est loin d’être anecdotique. C’est pourquoi Ursula von der Leyen, la présidente de la Commission européenne, a appelé à encadrer ce marché il y a environ un an. Comme elle le dit, « si tout est connecté, tout peut être piraté ». Une ébauche de réglementation a vu le jour à Bruxelles au mois de septembre.

Un nouveau règlement pour définir le cadre

La réglementation prévue par la Commission européenne vise à déterminer un minimum de conditions à remplir en matière de cybersécurité pour les objets connectés ou les logiciels mis sur le marché à l’avenir. Les fabricants devront limiter leurs surfaces d’attaque, protéger leurs produits contre les accès non autorisés, garantir la protection des données (RGPD) et disposer de mises à jour de sécurité. Enfin, ces objets ne devront pas comporter de vulnérabilités connues. Ces restrictions s’appliquent aussi bien aux particuliers qu’aux professionnels.

Ce nouveau dispositif s’ajoute à la législation NIS, en vigueur depuis 2016 pour la sécurité des infrastructures critiques pour le fonctionnement des pays membres de l’Union tels que le traitement de l’eau ou l’énergie par exemple.

Quels produits sont concernés par cette réglementation ?

Le Cyber Resilience Act s’appliquera à tout produit ayant une composante numérique. Ainsi, seront concernés aussi bien les hardwares que tous types de logiciel, les applications, les appareils intelligents dans les maisons, les téléphones portables, les équipements réseaux, les puces électroniques,…

Sont exclus pour le moment les logiciels open source ainsi que certains dispositifs médicaux ou pièces automobiles qui possèdent déjà des dispositifs de cybersécurité existants.

Les produits considérés comme critiques recevront un traitement spécial : ils devront être examinés afin de vérifier qu’ils respectent certaines exigences. Il s’agit de :

• Certains systèmes d’exploitation
• Certains certificats numériques
• Des pares-feux
• Des microprocesseurs
• Des modems

Quel est le risque encouru ?

Les produits conformes bénéficieront d’un marquage CE. Quant aux autres, ils risquent une amende pouvant aller jusqu’à 15 millions ou 2,5% de leur chiffre d’affaires. Autres sanctions ? Le produit en question pourrait être rappelé ou retiré du marché.

Il est également possible que la Commission interdise la mise sur le marché du produit non conforme. Ces sanctions devraient donc encourager les fabricants de ces appareils à renforcer la sécurité de leurs futurs objets connectés.

A titre informatif, 50% des entreprises déjà consultées par la Commission ont été déclarées en conformité avec cette nouvelle réglementation.

75 milliards d’objets connectés dans le monde sont attendus d’ici à 2025, soit plus de six fois le nombre d’objets connectés actuels. Au vu des cyberattaques toujours plus nombreuses, il était temps de réglementer ce marché au sein de l’Union Européenne et de rattraper ce retard !