Alors que le comité de l'industrie du Parlement européen a ratifié le Cybersecurity Act, les associations de consommateurs déplorent que les objets connectés ne soient pas concernés.
Le Cybersecurity Act, un projet de loi renforçant la coopération et les certifications en matière de cybersécurité, a été ratifié par le comité de l'industrie du Parlement européen.
En soi, cette décision facilitera les négociations au Parlement au moment du vote de la loi après les vacances d'été, puis, si elle est adoptée, l'adoption de nouvelle réglementation à l'échelle européenne.
Le Parlement veut sécuriser les applications critiques
Or, le BEUC, l'organisation européenne des consommateurs pointe du doigt un défaut “majeur”. La menace représentée par l'Internet des Objets, notamment les produits grand public, n'est pas suffisamment prise en compte. Pour l'instant, le projet de loi n'oblige pas les concepteurs d'objets connectés à appliquer des certifications de sécurité.
Selon ZDnet, le Parlement européen cible avant tout les entreprises gestionnaires d'applications critiques comme les infrastructures énergétiques. Les certifications seraient rendues obligatoires pour des acteurs développant “des produits et des services technologiques présentant les risques de sécurité les plus élevés”, précise le média.
La non-prise en compte de la menace représentée par les objets connectés déçoit le BEUC. Selon cette organisation, ne pas légiférer sur la sécurité des objets connectés, c'est “laisser un trou béant dans la législation européenne”. Cela faciliterait les attaques DDoS. L'affaire du botnet Miraï est restée dans les esprits.
D'autres moyens pour protéger les consommateurs
Pour l'instant, rien n'est joué : les discussions sont en cours. Le Cybersecurity Act satisfait la Computer & Communications Industry Association, un lobby dédié à l'industrie technologique. Cependant, les États membres de l'Union sont “favorables à un système reposant sur le volontariat”, explique ZDnet. Dans ce contexte, il ne serait pas obligatoire de passer des certifications de sécurité, même pour les applications les plus critiques.
Le BEUC ne baisse pas les bras. Johannes Kries, le directeur des communications du groupe estime encore possible de renforcer légalement les exigences en matière de cybersécurité. Le Parlement pourrait agir sur la sécurité des objets connectés par le biais des règles relatives aux équipements radio.
De même, la directive sur les contrats de contenu numérique en cours de négociation avec le Conseil de l'UE concerne les logiciels embarqués. Dans le meilleur des cas pour les consommateurs, les distributeurs pourraient être obligés à informer les utilisateurs au moment d'une mise à jour concernant une faille de sécurité.
- Partager l'article :