Techonologie

Objets Connectés : l’UE impose enfin des règles de cybersécurité aux constructeurs et distributeurs

salwa

Des amendes jusqu’à 2,5% du chiffre d’affaires ou 15 millions d’euros. Et des sanctions comme le rappel voire le retrait de la vente des produits mis en cause pour défaut de cybersécurité. L’Union européenne a choisi des réponses fortes pour compenser le retard pris dans la sécurisation des objets connectés. Ces derniers jusqu’alors ne se voyaient soumis qu’au strict minimum en matière de sécurité numérique, encourageant de fait les concepteurs et les producteurs de ces appareils à ne pas prévoir la protection informatique de ces équipements pourtant estimés à plus de 75 milliards d’exemplaires dans le monde d’ici 2025.

Un chiffrage forcément approximatif étant donné que la liste des équipements concernés est vaste : elle englobe tous les produits hardware et software (matériels et logiciels) ayant une composante numérique. Sont donc concernés par le nouveau dispositif tous les logiciels embarqués dans les ordinateurs domestiques, les équipements réseaux, les puces électroniques, les capteurs et caméras connectés, les automates, les sondes et autres outils de détection et de pilotage.

UNIFORMISER LA SÉCURITÉ DES CHAINES INDUSTRIELLES

Ce texte vient en complément des Directives NIS et NIS-2 sur les Opérateurs de Services Essentiels (OSE), qui depuis 2016 établissent les exigences de sécurité des entités jugées critiques pour le fonctionnement des pays membres de l’Union (traitement de l’eau, énergie, télécoms, services financiers, alimentation…). Il s’agit de systématiser des modes de sécurisation connus de longue date dans d’autres domaines d’activités : assurer la gestion des identités des utilisateurs, organiser la protection des données, réduire la surface d’attaque, disposer d’une procédure de mise à jour des règles de sécurité, encadrer le contrôle des accès…

Il n’y a plus de distinguo entre les produits grand public et professionnels puisque ces cahiers des charges renforcés seront également applicables pour des appareils domestiques comme les solutions domotiques ou les caméras connectées destinées au marché des particuliers.

UN CHANTIER INDUSTRIEL STRUCTURANT

Il est bien question ici d’intégrer l’amélioration continue de la sécurité dans le cycle de vie des logiciels et des produits et de ne pas considérer qu’il s’agit seulement d’une configuration initiale qui resterait figée. À ce titre, la Commission européenne a, comme c’est l’usage, réalisé une analyse d’impact pour situer son projet de réglementation dans un contexte opérationnel.

Évidemment, l’intensification des usages numériques et la confiance investie dans l’intégrité des systèmes de communication et d’information sont au cœur de l’économie européenne des années à venir. Restent aux équipes en charge de la cybersécurité d’approfondir leur dialogue avec les directions des métiers, les financiers et les responsables juridiques pour mettre en œuvre sans tarder cette intégration systématique de ces règles de sécurité. Soit un chantier industriel particulièrement structurant, qui impliquera les processus de conception, de production et de distribution de nombreux secteurs économiques. Quelle que soit la taille des entités concernées.

Liens utiles :

  • Présentation (septembre 2022) du projet de Règlement européen sur la cyber résilience
  • Règlement de l’ONU n°155, énonçant des prescriptions uniformes relatives à l’homologation des véhicules en ce qui concerne la cybersécurité et leurs systèmes de gestion de la cybersécurité
  • Une roadmap pour sécuriser les voitures autonomes : étude de Trend Micro, 2022
  • La stratégie européenne en matière de cybersécurité (2020)

Vous pourrez aussi aimer

Samsung va réduire sa production de puces mémoire face à la saturation du marché

salwa

TikTok expérimente un nouveau design pour des stories plus fluides

salwa

L’étau réglementaire se resserre sur Uber à travers le monde

salwa