L’Europe va contraindre les fabricants à garantir la cybersécurité de leurs produits
La Commission européenne a présenté jeudi une proposition de nouvel acte législatif sur la cyber-résilience qui introduit des exigences obligatoires en matière de cybersécurité applicables aux produits comportant des éléments numériques, sur l’ensemble de leur cycle de vie. Cet acte vise à protéger les consommateurs et les entreprises contre les produits dont les caractéristiques de sécurité ne sont pas suffisantes.
Fondé sur la stratégie de cybersécurité de l’UE de 2020 et la stratégie de l’UE pour l’union de la sécurité de 2020, cet acte législatif garantira que les produits numériques, tels que les produits connectés sans fil et filaires et les logiciels, sont plus sécurisés pour les consommateurs dans l’ensemble de l’UE. La responsabilité des fabricants et des vendeurs sera accrue car ils seront obligés de fournir une assistance en matière de sécurité et des mises à jour logicielles pour remédier aux vulnérabilités recensées, et les consommateurs pourront disposer d’informations suffisantes sur la cybersécurité des produits qu’ils achètent et utilisent.
« Nous sommes en droit d’attendre que les produits que nous achetons sur le marché unique soient sûrs. Tout comme nous pouvons faire confiance à un jouet ou à un réfrigérateur muni d’un marquage CE, nous pourrons, grâce à l’acte législatif sur la cyber-résilience, avoir l’assurance que les objets et les logiciels connectés que nous achetons offrent des garanties solides en matière de cybersécurité. Cet acte fera peser la responsabilité sur ceux qui doivent l’assumer, c’est-à-dire ceux qui mettent les produits sur le marché », martèle Margrethe Vestager, vice-présidente exécutive pour une Europe adaptée à l’ère du numérique.
Thierry Breton, commissaire au marché intérieur, ajoute : « les ordinateurs, les téléphones, les appareils ménagers, les dispositifs d’assistance virtuels, les voitures, les jouets… chacun de ces centaines de millions de produits connectés peut servir de porte d’entrée à une cyberattaque. Pourtant, aujourd’hui, la plupart des produits matériels et logiciels ne sont soumis à aucune obligation en matière de cybersécurité. En introduisant la cybersécurité dès la conception, l’acte législatif sur la cyber-résilience contribuera à protéger l’économie européenne et la sécurité de tous.»
Les mesures proposées sont fondées sur le nouveau cadre législatif applicable à la législation sur les produits dans l’UE et définiront:
- des règles relatives à la mise sur le marché de produits comportant des éléments numériques afin de garantir leur conformité aux exigences de cybersécurité;
- des exigences essentielles relatives à la conception, au développement et à la production des produits comportant des éléments numériques, et des obligations incombant aux opérateurs économiques en ce qui concerne ces produits;
- des exigences essentielles relatives aux processus de gestion de la vulnérabilité mis en place par les fabricants pour garantir que les produits comportant des éléments numériques sont conformes aux exigences de cybersécurité tout au long de leur cycle de vie, et des obligations incombant aux opérateurs économiques en ce qui concerne ces processus. Les fabricants devront aussi signaler les vulnérabilités activement exploitées et les incidents;
- des règles relatives à la surveillance du marché et au contrôle de l’application des règles.
Toutes les 11 secondes dans le monde, une organisation est victime d’une attaque par rançongiciel et on estimait, en 2021, que le coût annuel de la cybercriminalité représentait 5500 milliards d’euros à l’échelle de la planète (Rapport du Centre commun de recherche de 2020). Il est donc plus important que jamais d’assurer un niveau élevé de cybersécurité et de réduire les vulnérabilités des produits numériques — qui constituent l’un des principaux vecteurs des attaques, souligne la Commission.
Les nouvelles règles permettront un rééquilibrage en faisant assumer leur responsabilité aux fabricants, lesquels doivent garantir la conformité avec les exigences de sécurité des produits comportant des éléments numériques, qui sont mis à disposition sur le marché de l’UE.
Il appartient maintenant au Parlement européen et au Conseil d’examiner le projet d’acte législatif sur la cyber-résilience. Une fois celui-ci adopté, les opérateurs économiques et les États membres disposeront de deux ans pour s’adapter aux nouvelles exigences.
Plus d’infos sur les futures obligations des fabricants d’objets connectés