Article technique

Cybersécurité des produits numériques

Le nouveau règlement (UE) sur la cyberrésilience 2024/2847


Partager l'article
Share Button Linkedin Share Button Xing Share Button Twitter Share Button E-Mail

Le 20 novembre 2024, le Règlement (UE) 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024 relatif aux exigences horizontales de cybersécurité applicables aux produits comportant des éléments numériques, appelé Cyberrésilience Act (en abrégé CRA), a été publié au Journal officiel de l'UE. Cette réglementation vise à garantir qu'un grand nombre de produits, tels que les caméras domestiques connectées, les réfrigérateurs, les téléviseurs, les jouets et même les machines, soient sûrs avant d'être mis sur le marché.

Le nouveau Règlement vise à combler les lacunes, à clarifier les liens et à rendre le cadre juridique existant en matière de cybersécurité plus cohérent afin de garantir que les produits comportant des composants numériques, tels que les produits de l'Internet des objets (IdO), soient sûrs tout au long de la chaîne d'approvisionnement et du cycle de vie.

Note : Cet article spécialisé est mis à jour en permanence. Ne manquez pas les mises à jour importantes et abonnez-vous dès maintenant à notre newsletter gratuite ou suivez-nous sur LinkedIn!

Contexte

Au vu de la situation actuelle en matière de sécurité, et notamment de la guerre en Ukraine, on pouvait s'attendre à ce que l'augmentation de la résilience aux cyber-attaques en Europe soit une priorité politique et soit donc poursuivie avec vigueur. 

Le 1.12.2023, le Parlement européen et le Conseil sont parvenus à un accord sur le règlement sur la cyberrésilience proposé par la Commission en septembre 2022. Celle-ci conserve les grandes lignes de la proposition précédente de la Commission, mais les colégislateurs proposent des adaptations dans certains domaines. Ceux-ci comprennent par exemple le souhait d'une méthodologie plus simple pour la classification des produits numériques couverts par le Règlement, une définition de la durée de vie des produits par les fabricants ou une obligation de notification des vulnérabilités et incidents activement exploités.

Le 12.3.2024, le Parlement européen a adopté le texte de compromis, suivi le 10.10 par l'approbation du Conseil. Le 20.11.2024, la version finale a finalement été publiée au Journal officiel de l'UE. 20 jours après cette publication, il entrera en vigueur et sera directement applicable dans chaque État membre de l'UE à partir du 11.12.2027.

Quand le règlement sur la cyberrésilience sera-t-il publié ?

Le 20.11.2024, le règlement sur la cyberrésilience, la nouvelle loi sur les exigences de cybersécurité pour les produits contenant des éléments numériques, a été publié au Journal officiel de l'UE. 

A partir de quand le règlement sur la cyberrésilience doit-il être appliqué ?

Le nouveau Règlement entrera en vigueur vingt jours après sa publication au Journal officiel de l'UE (10 décembre 2024) et sera directement applicable dans chaque État membre de l'UE 36 mois après cette entrée en vigueur, à savoir à partir du 11 décembre 2027.

Certaines dispositions s'appliqueront plus tôt : 

  • Juin 2026 : Les organismes d'évaluation de la conformité peuvent évaluer le respect des exigences du CRA
  • Septembre 2026 : L'obligation de notifier les vulnérabilités et autres incidents de sécurité commence
  • 11 décembre 2027 : toutes les exigences du CRA pour les nouveaux produits doivent être respectées
     

    Quels sont les considérants de la Commission européenne concernant le règlement sur la cyberrésilience ?

    Toutes les 11 secondes, une attaque de pirates informatiques a lieu. Il en résulte des coûts de plus de 5 billions d'euros. C'est ce qu'écrit la Commission européenne dans sa stratégie de cybersécurité, soulignant ainsi la nécessité de garantir un niveau de cybersécurité plus élevé à l'avenir. L'objectif est que les exigences définies soient intégrées en permanence dans l'ensemble de la chaîne d'approvisionnement.

    Le nouveau Cyber Resilience Act vise à garantir que les produits numériques deviennent plus sûrs pour les particuliers et les entreprises. Les fabricants de ces produits, qu'il s'agisse de matériel ou de logiciels, seront tenus de corriger les vulnérabilités par le biais de mises à jour logicielles et d'informer l'utilisateur final de leurs produits des risques potentiels en matière de cybersécurité. En outre, le projet de règlement définit des exigences pour le développement de logiciels et souligne ainsi également la « sécurité dès la conception » exigée par la loi sur la cybersécurité déjà en vigueur.
     

    Quels sont les objectifs du règlement sur la cyberrésilience ?

    La législation sur la cybersécurité présentée par la Commission européenne a pour objectif général de mettre sur le marché intérieur des produits matériels et logiciels plus sûrs. La Commission concrétise les objectifs de l'acte législatif sous la forme de 4 mesures :  

    1. Assurer que les fabricants renforcent la sécurité des produits contenant des éléments numériques dès la phase de conception et de développement et tout au long de leur cycle de vie.
    2. Un cadre cohérent pour la cybersécurité sera garanti, facilitant la conformité des fabricants de matériel et de logiciels
    3. La transparence des caractéristiques de sécurité des produits contenant des éléments numériques sera améliorée
    4. Les entreprises et les consommateurs pourront utiliser en toute sécurité les produits contenant des éléments numériques
       

    Que peut-on dire du champ d'application du règlement sur la cyberrésilience ?

    La lecture du champ d'application du Règlement permet de constater que ce domaine est très large :

    "Le présent règlement s'applique aux produits comportant des éléments numériques mis à disposition sur le marché dont l'utilisation prévue ou raisonnablement prévisible comprend une connexion directe ou indirecte, logique ou physique, à un dispositif ou à un réseau."

    En définissant vaguement les "éléments numériques", le Règlement couvre donc aussi bien le matériel, comme les machines et les appareils IoT, que les produits purement logiciels.

    Le champ d'application mentionne également des exceptions, par exemple les dispositifs médicaux visés par le Règlement (UE) 2017/745 n'entrent pas dans le champ d'application de l'acte juridique prévu.

    L'acte juridique règle également la future interaction avec le règlement délégué 2022/30, qui exige déjà exigences de sécurité pour les équipements connectés à Internet au sens de la équipements radioélectriques 2014/53/UE. Bruxelles a ainsi annoncé que, pour éviter les chevauchements, le Règlement 2022/30 serait soit abrogé, soit simplement complété.
     

    Le règlement sur la cyberrésilience exige-t-il une procédure d'évaluation de la conformité et une "Appréciation du risque cyber" ?

    A l'instar des textes législatifs européens précédents (p. ex. la directive sur les machines ou la directive sur la basse tension), le Cyber Resiliance Act prévoit également une procédure d'évaluation de la conformité.

    L'Appréciation du risque cybernétique constitue le cœur de la procédure. Ainsi, le projet prévoit à l'article 13, paragraphe 2 :

    " (...) les fabricants procèdent à une évaluation des risques de cybersécurité associés à un produit comportant des éléments numériques et tiennent compte des résultats de cette évaluation au cours des phases de planification, de conception, de développement, de production, de livraison et de maintenance du produit comportant des éléments numériques, en vue de réduire au minimum les risques de cybersécurité, de prévenir les incidents et d'en réduire au minimum leurs répercussions, y compris en ce qui concerne la santé et la sécurité des utilisateurs."

    Selon la criticité des produits, la procédure d'évaluation de la conformité distingue entre une autocertification et deux procédures nécessitant l'intervention d'organismes notifiés. Pour plus de détails, voir Factsheet sur la Cyber Resiliance Act (en anglais).

    Les dispositions de l'annexe VII, paragraphe 2, du Règlement sont à notre avis particulièrement remarquables pour les fabricants. Le document cite ici différents aspects (conception, développement, production, analyse des vulnérabilités) comme contenus de la documentation technique. Cela signifie que dans le processus de développement logiciel, les décisions d'architecture logicielle ainsi que les décisions relatives au processus de développement et de construction devront être documentées à l'avenir - si l'on en croit la Commission européenne. Cela signifie bien entendu un effort de documentation accru pour les entreprises. Le développement technologique rapide des outils de développement de logiciels (par exemple pour les processus de construction) placera certainement les entreprises devant des défis organisationnels maîtrisables, mais non négligeables.

    Le contenu en texte intégral :

    "CONTENU DE LA DOCUMENTATION TECHNIQUE

    (...)

    une description de la conception, du développement et de la fabrication du produit comportant des éléments numériques et des processus de gestion des vulnérabilités, y compris:

    (a) les informations nécessaires sur la conception et le développement du produit comportant des éléments numériques, y compris, le cas échéant, des dessins et des schémas et/ou une description de l'architecture du système expliquant comment les composants logiciels s'appuient les uns sur les autres ou s'alimentent et s'intègrent dans le traitement global;

    (b) les informations et spécifications nécessaires concernant le processus de gestion des vulnérabilités mis en place par le fabricant, en ce compris la nomenclature des logiciels, la politique coordonnée de divulgation des vulnérabilités, la preuve de la fourniture d'une adresse de contact pour le signalement des vulnérabilités et une description des solutions techniques choisies pour la distribution sécurisée des mises à jour;

    (c) les informations et spécifications nécessaires concernant les processus de production et de suivi du produit comportant des éléments numériques et la validation de ces processus;"
     

    Que signifient les exigences du règlement sur la cyberrésilience pour les fabricants ?

    L'Office fédéral allemand de la sécurité dans la technologie de l'information (BSI) propose, avec la publication de la directive technique TR-03183, une aide à l'identification des exigences du CRA pour les fabricants. Pour en savoir plus, consultez notre article technique "Directive technique sur les exigences de cyber-résilience" (en anglais).
     

    Quand y aura-t-il des normes harmonisées concernant le règlement sur la cyberrésilience ?

    Dans les mois à venir, la Commission invitera les organismes européens de normalisation, le CEN et le CENELEC, à « élaborer des normes harmonisées pour les exigences essentielles en matière de cybersécurité énoncées à l'annexe I du présent règlement » Dans le cadre d'un tel mandat de normalisation, la Commission s'efforcera de tenir compte des normes européennes et internationales existantes dans le domaine de la cybersécurité qui ont déjà été publiées ou sont en cours d'élaboration. Jusqu'à présent, un tel mandat de normalisation sur le CRA n'est disponible que sous forme de projet de document, on s'attend à ce que le « Stadardisation Request » officiel soit publié peu de temps après la publication du Cyber Resilience Act.

    Voici quelques exemples de normes et de spécifications qui pourraient être harmonisées pour répondre aux exigences du CRA:

    • Série de normes EN ISO/IEC 15408 parties 1-5: Sécurité de l'information, cybersécurité et protection de la vie privée - Critères d'évaluation pour la sécurité des technologies de l'information
    • EN 17640: Méthode d'évaluation de la cybersécurité pour produits TIC
    • EN ISO/IEC 29147: Technologies de l'information - Techniques de sécurité - Divulgation de vulnérabilité
    • EN ISO/IEC 30111: Technologies de l'information - Techniques de sécurité - Processus de traitement de la vulnérabilité
    • EN 303 645: Cybersécurité pour l'Internet des objets grand public
    • Parties de la série de normes EN IEC 62443: Sécurité des automatismes industriels et des systèmes de commande

    Au même titre que nouveau règlement machines (UE) 2023/1230, en l'absence de normes harmonisées pour les exigences de cybersécurité de l'annexe I, la Commission peut adopter des actes d'exécution établissant des spécifications communes pour les exigences techniques. Le législateur laisse cette option ouverte si les normes souhaitées ne sont pas fournies dans le délai fixé, si le mandat de normalisation n'a pas été accepté ou si le contenu des documents ne correspond pas au mandat.

    Pour les fabricants de machines en particulier, les documents suivants constituent une source d'information précieuse : 

    • CLC IEC/TS 63074: Sécurité des machines - Aspects liés à la sûreté relatifs à la sécurité fonctionnelle des systèmes de commande relatifs à la sécurité
    • CEN ISO/TR 22100-4 : Lignes directrices pour les fabricants de machines concernant la prise en compte des aspects de sécurité informatique (cybersécurité) associés
    • prEN 50742: Sécurité des machines - protection contre la corruption
       

      Comment distinguer le règlement sur la cyberrésilience d'autres dispositions cybernétiques telles que NIS-2 ?

      Die NIS-2-Richtlinie gilt für Netzwerk- und Informationssysteme, die zur Bereitstellung wesentlicher und wichtiger Dienste in Schlüsselsektoren verwendet werden. So schreibt die Vorschrift Organisationen (=Betreibern) aus verschiedenen Sektoren vor sicherzustellen, dass die Netzwerke und Systeme, die sie zur Erbringung von Dienstleistungen und zur Durchführung ihrer Tätigkeiten nutzen, ein höheres Maß an Cybersicherheit erreichen. Welche Unternehmen davon direkt (als Betreiber) betroffen sind und welche Anforderungen bzw. Sanktionen die Richtlinie vorsieht haben wir im Fachbeitrag NIS-2-Richtlinie im Maschinenbau erläutert.

      Der Cyber Resilience Act dagegen legt Cybersicherheitsanforderungen für Hardware- und Softwareprodukte fest, die von Unternehmen (=Herstellern) in der EU auf den Markt gebracht werden. Für Produkte, die in den Geltungsbereich des CRA fallen, müssen Hersteller Sicherheitsbewertungen durchführen, Verfahren zur Behandlung von Schwachstellen einführen und den Benutzern die erforderlichen Informationen zur Verfügung stellen.
       

      Règlement sur la cyberrésilience - Téléchargement

      Le 10 octobre 2024, la version corrigée du règlement sur la cyberrésilience a été adoptée. Pour accéder au texte intégral du projet final, cliquez sur le lien suivant :


      Règlement sur la cyberrésilience du 20.11.2024
       


      Rédigé le : 20.11.2024 (Dernière mise à jour)

      Auteurs

      Johannes Windeler-Frick, MSc ETH
      Membre de la direction d'IBF. Spécialiste du marquage CE et de Safexpert. Conférences, podcasts et publications sur différents thèmes CE, notamment l'organisation CE et la gestion CE efficace. Direction du développement du système logiciel Safexpert. Études d'électrotechnique à l'EPF de Zurich (MSc) avec spécialisation en technique énergétique et approfondissement dans le domaine des machines-outils.

      E-Mail : johannes.windeler-frick@ibf-solutions.com | www.ibf-solutions.com
       

      Daniel Zacek-Gebele, MSc
      Chef de produit chez IBF pour les produits supplémentaires ainsi que gestionnaire de données pour l'actualisation des données normatives sur le Safexpert Live Server. Études d'économie à Passau (BSc) et à Stuttgart (MSc), spécialisation en commerce international et en économie.

      E-Mail : daniel.zacek-gebele@ibf-solutions.com | www.ibf-solutions.com

       


      Partager l'article
      Share Button Linkedin Share Button Xing Share Button Twitter Share Button E-Mail

      Inscription


      Vous n'êtes pas encore inscrit à l'InfoService CE gratuit ? Inscrivez-vous dès maintenant et recevez les informations par e-mail lorsque de nouveaux articles spécialisés, d'importantes publications de normes ou d'autres actualités dans le domaine de la sécurité des machines et des appareils électriques ou de la conformité des produits sont disponibles. (Le CE-InfoService n'est actuellement disponible qu'en allemand et en anglais.)

      Annonce publicitaire pour la présentation web de Safexpert
      Annonce publicitaire pour Safexpert

      Soutien de l'IBF

      Logiciel CE Safexpert

      Logiciel CE pour une ingénierie de sécurité systématique et professionnelle

      Séminaires pratiques

      Séminaires pratiques sur le thème de la sécurité des produits

      Restez à jour !

      Mit dem CE-InfoService bleiben Sie informiert bei wichtigen Entwicklungen im Bereich Produktsicherheit