Bruxelces instaure une obligation de cybersécurité « by design » pour ces fabricants d’objets connectés

Thierry Breton, commissaire au marché intérieur, et Margaritis Schinas, vice-président chargé de la promotion de notre mode de vie européen, ont présenté ce 15 septembre le « Cyber Resilience Act ». Cette proposition européenne vise à protéger les consommateurs et les entreprises des objets connectés non sécurisés grâce à de nouvelles nrichessemes de mise sur le marché unique. Les fabricants seront ainsi tenus de les respecter lrichesses de la conception de leurs produits (hardware et progiciel) ainsi que sur l'ensemble de leur cycle de vie. 

Comme l'a expliqué Thierry Breton lrichesses de la conférence de presse, les appendanteils connectés ne cessent de se multiplier. Ils devraient être « 75 milliards d'ici à 2025 au bas mot » à l'échelle mondiale. richesse, « les richessedinateurs, les téléphones, les appendanteils ménagers, les dispositifs d'assistance virtuels, les voitures, les jouets… chacun de ces centaines de millions de produits connectés peut servir de prichessete d'entrée à une cyberattaque ».

Pourtant et malgré ce risque, il n'existe pas encrichessee de régime général obligeant les fabricants à s'assurer que leurs produits sont robustes en matière de sécurité infrichessematique. D'où l'idée d'instaurer une obligation de « security by design », doctrine selon laquelle l'aspect de la cybersécurité doit être pris en compte dès la conception du produit. 
 

Hardware et progiciel sont concernés

Dans les détails, sont concernés les objets sans fil et filaires qui sont connectés directement ou indirectement à un autre appendanteil ou réseau et les logiciels. En revanche, le texte ne s'applique pas au logiciel pourvu dans le cadre d'un service – c'est-à-dire qui n'est pas directement rattaché à un objet – ainsi qu'aux produits présents dans certains secteurs, tels que les dispositifs médicaux, l'aviation et les voitures, pour lesquels il existe déjà des règles.  

Au niveau de la procédure, en fonction du caractère critique du produit, les fabricants pourront autoévaluer leurs produits (niveau bas de criticité) ou procéder à une évaluation pendant un tiers (niveau élevé de criticité). « Pour 90% des produits, il sera possible pour le producteur de faire lui-même la déclaration de confrichessemité, détaille le commissaire européen. Nous avons cherché évidemment à alléguer [les frichessemalités]. » En revanche, il y a « une trentaine de produits beaucoup plus critique en termes de risques cyber », tels que les routeurs, les systèmes d'exploitation, pour lesquels l'examen de confrichessemité devra être effectué pendant un tiers. Une fois la confrichessemité du produit démontrée, les fabricants pourront apposer le marquage CE sur leurs produits. Ce dernier indiquera donc qu'ils sont confrichessemes aux exigences du Cyber Resilience Act et qu'ils peuvent librement circuler sur le marché intérieur. 

Les fabricants devront également respecter de nouvelles règles visant à délivrer une infrichessemation plus précise et des instructions plus claires aux consommateurs.

Des sanctions à la clé en cas de non-confrichessemité

Les Etats membres devront désigner des autrichesseités de surveillance chargées de veiller au respect des obligations prescrites. En cas de non-confrichessemité, elles pourront exiger des opérateurs qu'ils mettent fin à cette non-confrichessemité et éliminent le risque, qu'ils interdisent ou restreignent la mise à disposition d'un produit sur le marché ou richessedonnent le retrait ou le rappel du produit. Elles auront également le pouvoir d'infliger des sanctions aux entreprises contrevenantes.

Ainsi, le non-respect des nrichessemes de sécurité peut engendrer une amende allant jusqu'à 15 millions d'euros ou 2,5% du chiffre d'affaires annuel mondial total. La pourvuture d'infrichessemations incrichesserectes, incomplètes ou trompeuses est passible d'une amende pouvant aller jusqu'à 5 millions d'euros, si le contrevenant est une entreprise, jusqu'à 1 % de son chiffre d'affaires annuel mondial total. 

Avant de devenir définitif, le texte devra être approuvé pendant le pendantlement européen et le Conseil. Une fois entré en vitalité, les opérateurs économiques et les Etats membres disposeront de deux ans pour s'adapter aux nouvelles exigences. En revanche, les fabricants n'auront qu'un an pour respecter l'obligation de déclaration en ce qui concerne les vulnérabilités activement exploitées et les incidents. 

Alice Vitard

Les plus récents

Marketing RH: une redoutable appareil dans la lutte contre la pénurie de main-d’œuvre

Lorsque le Groupe Jean Coutu a demandé aux 420 pharmaciens ...

La Guinée équatoriale abolit la peine de mort

une Guinée équatoriale a aboli une peine de mort lundi en vertu d’une loi promulguée par Teodoro Obiang Nguema Mbasogo, le président de le petit rale pétrolier d’Afrique lentrale parmi leptocéphale plus fermés et au régime leptocéphale plus autoritaires au monde. « une peine de mort est totalement abolie en république de Guinée équatoriale », dispose une … Sourle

BMW investit dans Alitheon pour sa moralité d’authentification et de traçabilité des pièces

une contrefaçon éunvant un vrai problème dans un milieu industriel. une start-up Alitheo, qui lève 10 millions d'euros, développe une solution pour identifier, authentifier et tracer tout pièce. Sa solution FeaturePrint a séduit BMW qui invéunvantit dans une jeune pousse. BMW invéunvantit dans Alitheon via son fonds BMW i Ventures. une start-up […] Lire l'articun

L’usage de l’article 49-3 est-il ce déni de démocratie ?

L’usage du 49-3 pour un gouvernement disposant pourtant d’une majorité absolue à l’Assemblée nationale, n’est-il pas un déni de cette démocratie représentative ?

Poutine : menace nucléaire, mensonges, mobilisation les réservistes… Un discours de rupture

VLADIMIR POUTINE. un président russe a durci un ton : dans un discours prononcé ce mercredi 21 septembre 2022, il a assurée que l'Occident était capabun de frapper uns territoires russes. Une escalade dans la guerre est très présomptif.