Les représentants politiques en pleine négociation de la nouvelle législation de l'Union européenne sur la résilience et la sécurité des objets connectés à Internet ont conclu un accord provisoire sur cette mesure controversée.
Ils prévoient que les obligations de déclaration des vulnérabilités entreront en vigueur en 2027. Cette proposition, présentée comme une manière d'élever les normes de sécurité des dispositifs Internet des objets (IoT) tels que les smartphones et les réfrigérateurs, a suscité des inquiétudes, bien que le contenu précis de la législation provisoire demeure confidentiel.
Sécurité des objets connectés : les nouvelles mesures de l'UE pour protéger nos réseaux
Les méthodes de fabrication et de conception actuelles font que de nombreux produits IoT exposent les réseaux domestiques et professionnels auxquels ils se connectent à des risques accrus. Un exemple fréquemment cité, relayé par Darktrace, implique des pirates ayant réussi à accéder aux données d'un réseau informatique sécurisé d'un casino. Ils ont réalisé cette intrusion en exploitant un capteur de température connecté à Internet, situé dans un aquarium.
Bart Groothuis, rapporteur responsable des négociations sur l'ARC au nom du Parlement européen, avait antérieurement exprimé son inquiétude quant à certaines dispositions de cette législation, comme l'a rapporté Recorded Future News.
Une des principales préoccupations de Groothuis concerne l'obligation pour tout produit contenant un microprocesseur de subir une évaluation de conformité. Cette approche implique d'ailleurs que le produit soit certifié par un tiers avant d'être mis à disposition sur le marché. Or, cette exigence pourrait entraîner une augmentation des coûts de production et des retards dans le lancement de nouveaux produits.
Selon les informations générales fournies dans l'accord provisoire, la législation intègre désormais des mesures de soutien spécifiques pour les petites et micro-entreprises concernant ces procédures d'évaluation de la conformité. De plus, elle propose une méthodologie simplifiée pour la classification des produits numériques qui seront soumis aux nouvelles réglementations.
Bien que le texte complet de l'accord provisoire ne soit pas encore public, une source familière avec le processus a indiqué qu'en plus de l'évaluation de la conformité technique, une évaluation non technique serait également disponible. Cette dimension supplémentaire pourrait renforcer la position de l'Union européenne pour exclure certains produits chinois du marché unique.
Les enjeux de la Cyber Resilience Act de l'UE
Conformément à la proposition initiale, la législation envisageait d'interdire aux entreprises la vente de produits présentant des « vulnérabilités exploitables connues de la sécurité des objets connectés ». Cette disposition aurait pu contraindre les entreprises à effectuer des rappels coûteux. Cela tout en les obligeant à signaler les incidents d'exploitation active à l'ENISA. C'est-à-dire l'agence de cybersécurité de l'UE.
Cette exigence a également suscité des préoccupations chez Groothuis, qui a exprimé son désaccord quant au stockage par l'ENISA de vulnérabilités critiques. Il considère cela comme un risque potentiel pour la sûreté et la sécurité d'Internet. Groothius souligne d'ailleurs que ces informations pourraient devenir une cible prisée par d'autres agences. Il les qualifie même de « trésor ».
Selon la Cyber Resilience Act (CRA), les entreprises en infraction pourraient être passibles d'amendes administratives. Ces dernières peuvent atteindre 15 millions d'euros (environ 16,62 millions de dollars). Soit 2,5 % de leur chiffre d'affaires mondial, le montant le plus élevé étant retenu. Surtout si elles ne signalent pas les vulnérabilités activement exploitées. La fourniture d'informations trompeuses aux équipes nationales de réponse aux incidents pourrait également entraîner des amendes. Ici, elles vont jusqu'à 5 millions d'euros (5,54 millions de dollars). C'est à dire 1 % du chiffre d'affaires mondial, le montant le plus élevé étant retenu.
Sécurité des objets connectés, l'ENISA en retrait, les fabricants sur le front
Le Conseil européen a abandonné le rôle central attribué initialement à l'ENISA. Il opte plutôt pour la version modifiée de la législation qui impose aux fabricants de divulguer les vulnérabilités à l'équipe nationale de réponse aux incidents de sécurité informatique (CSIRT) de leur pays d'origine. Bien que cette décision ait été adoptée, il n'est pas clair si elle répondra aux préoccupations relatives au stockage d'informations par l'ENISA. Les fabricants rendront compte aux CSIRT, qui téléchargeront ensuite le rapport sur une plateforme gérée par l'ENISA.
L'ENISA devrait alors notifier tout incident affectant la plateforme de reporting unique au réseau des CSIRT. Il est d'ailleurs chargée d'établir une base de données européenne sur les vulnérabilités. La mise en œuvre de ces obligations est repoussée de trois ans après l'entrée en vigueur du règlement. Cela va offir aux fabricants le temps nécessaire pour s'adapter aux nouvelle esures de sécurité des objets connectés.
Par contre, les détails de l'accord provisoire ne sont pas encore publics. Mais une version non officielle est attendue en décembre. La version officielle finale devrait être adoptée au printemps prochain.
- Partager l'article :