La loi sur la cyber-résilience exige des adaptations de produits
L'UE prend au sérieux la "sécurité dès la conception" : les appareils présentant des cyber-vulnérabilités exploitables ne pourront bientôt plus être vendus dans l'UE. Les fabricants devront donc adapter leurs produits.
Le 10 décembre 2024, le Cyber Resilience Act de l'UE est entré en vigueur. Les entreprises soumises à la loi européenne sur la cyber-résilience (CRA) doivent se dépêcher d'adapter leurs produits aux exigences de la CRA", déclare Jan Wendenburg, CEO de la société de cybersécurité Onekey basée à Düsseldorf. Il souligne que les premières dispositions du CRA s'appliqueront dès septembre 2026 et toutes les autres à partir du 11 décembre 2027. "À partir de cette date, tous les produits en réseau devront satisfaire pleinement aux exigences de cybersécurité du Cyber Resilience Act", précise Jan Wendenburg. Selon lui, les fabricants, les importateurs et les distributeurs sont tous mis à contribution : Sans la conformité CRA, le marquage CE ne pourra pas être attribué, et donc les produits concernés ne pourront plus être vendus dans l'UE.
Le Cyber Resilience Act de la Commission européenne, adopté le 10 décembre 2024, constitue la réglementation la plus complète à ce jour en matière de cybersécurité des produits connectés en Europe. Pour tous les fabricants d'appareils "à éléments numériques", c'est-à-dire tous les produits intelligents, qu'ils soient destinés à l'industrie, au grand public ou aux entreprises, le temps presse car les nouvelles contraintes de sécurité doivent être prises en compte dès le stade du développement du produit. "Compte tenu des cycles de vie des produits, qui s'étendent généralement sur plusieurs années, il convient donc d'accorder la plus haute priorité à la question de l'ARC si l'on veut pouvoir continuer à vendre sur le marché de l'UE", conseille Jan Wendenburg.
"Sécurité dès la conception" pour la conformité CRA
Les éléments centraux pour la conformité CRA sont le principe de "sécurité dès la conception" ainsi qu'une évaluation continue des risques et l'élimination des points faibles. En outre, l'EU CRA exige une Software Bill of Materials (SBOM) pour assurer la traçabilité des composants logiciels et identifier les risques à un stade précoce de la chaîne d'approvisionnement. Le CRA catégorise les produits en trois classes de sécurité : Critique, Important et Autre. Dans chaque classe, des exigences correspondantes doivent être remplies. La sécurité de la chaîne d'approvisionnement est particulièrement pertinente à cet égard, car les vulnérabilités des composants tiers et open source peuvent compromettre l'intégrité de l'ensemble du système. Le délai de mise en œuvre de 24, voire 36 mois depuis l'entrée en vigueur le 10 décembre 2024, place les fabricants devant de grands défis, car les développements de produits durent souvent des années. Pour répondre aux exigences du CRA, les entreprises devraient mettre en œuvre le plus rapidement possible les "meilleures pratiques" en matière de cybersécurité. Pour ce faire, il convient de prendre en compte, outre le CRA, d'autres cadres réglementaires tels que RED II (EN 18031) et CEI 62443-4-2. Des outils de conformité spéciaux peuvent aider à répondre aux exigences actuelles et futures en permettant une évaluation rapide, simple et donc efficace de la cybersécurité des logiciels des produits. L'assistant de conformité de Onekey (brevet en cours) en est un exemple.
"Les entreprises qui adaptent leur stratégie de produits à temps garantissent non seulement leur autorisation de mise sur le marché dans l'UE, mais aussi leur compétitivité. La cybersécurité du cycle de vie des produits, la conformité proactive et la transparence de la chaîne d'approvisionnement deviennent des facteurs de réussite incontournables pour tous les fabricants sur le marché de l'UE", explique Jan Wendenburg.
Les nouvelles exigences de la loi sur la cyber-résilience
Pour répondre aux nouvelles exigences, les entreprises doivent être en mesure d'identifier les failles de sécurité dans leurs produits et d'effectuer une surveillance continue du cycle de vie des produits. Cela signifie que chaque version de logiciel doit être vérifiée et - tant qu'elle est active - surveillée sans interruption pour détecter d'éventuelles nouvelles vulnérabilités. Les nouvelles vulnérabilités doivent être évaluées en permanence et, si nécessaire, signalées et/ou des mesures doivent être prises pour les réparer.
Les prescriptions CRA concernent l'ensemble du cycle de vie des produits intelligents - de la planification et du développement jusqu'à l'exploitation et la mise hors service subséquente. Les fabricants sont tenus de proposer des mises à jour de sécurité pour leurs produits sur une période d'au moins cinq ans. Si l'utilisation du produit est plus courte, cette période peut être raccourcie en conséquence. "Cependant, dans de nombreux secteurs industriels, il n'est pas rare que les produits aient une durée de vie de 10 ou 20 ans, voire plus. Cela signifie que la surveillance, la maintenance, la gestion des vulnérabilités et les stratégies de correctifs doivent également être maintenues sur une période suffisamment longue", explique Jan Wendenburg pour illustrer les défis à relever.
"La mise en œuvre du Cyber Resilience Act pose des défis pratiques considérables aux fabricants", explique Jan Wendenburg. Il cite des exemples concrets : "Dans la fabrication industrielle, où les systèmes de commande et de production sont utilisés pendant des décennies et où des mises à jour de sécurité régulières sont nécessaires pour garantir la conformité. Dans l'industrie de l'IoT, par exemple pour les appareils électroménagers intelligents, la maintenance permanente du logiciel Bill of Materials est également nécessaire pour identifier et corriger rapidement les vulnérabilités potentielles". Les entreprises doivent travailler en étroite collaboration avec leurs fournisseurs et utiliser des outils pour tester les logiciels tiers, comme les solutions d'analyse binaire, afin de garantir une surveillance de la sécurité à la réception des marchandises et tout au long du cycle de vie du produit. "Seuls des processus automatisés et des outils d'analyse des vulnérabilités et de la conformité permettent de répondre aux nouvelles exigences légales de manière économiquement acceptable et efficace", conclut Jan Wendenburg.
Source : Onekey
CRA et la Suisse
Les réglementations du Cyber Resilience Act concernent également les entreprises suisses, notamment si elles souhaitent exporter des produits contenant des composants numériques vers l'UE. Sont par exemple concernés les appareils de réseau tels que les routeurs et les commutateurs, les systèmes de commande industriels ainsi que les produits logiciels. Les entreprises suisses qui souhaitent exporter de tels produits ou d'autres produits contenant des éléments numériques vers l'UE sont tenues de satisfaire aux exigences du CRA et doivent fournir les preuves de conformité correspondantes. Selon les informations de l'Office fédéral de la cybersécurité BACS, une majorité de produits seraient considérés comme "non critiques". Cela signifie qu'une auto-déclaration suffit comme preuve de conformité. Pour les produits tels que les serrures de porte intelligentes, les systèmes d'alarme, les appareils médicaux portables et autres, les exigences de conformité sont toutefois plus élevées et nécessitent une évaluation par un tiers.
red. / swisscybersecurity.net / Redguard AG
