L’entrée en vigueur du Cyber Resilience Act (CRA) est très probablement prévue en 2027. Elle aura des répercussions sur les fabricants, importateurs et distributeurs d’objets connectés. Pour les fabricants, la cybersécurité devra être prise en compte par défaut dès les phases de conception et de développement. La prévention des vulnérabilités exploitables et la protection des utilisateurs finaux commencent par le respect des obligations en matière de sécurité et de gestion des vulnérabilités. Les fabricants doivent donc non seulement développer des produits IoT sécurisés, mais aussi être prêts à gérer les problèmes et les incidents tout en protégeant les données sensibles des utilisateurs.
Voici quelques mesures à prendre pour garder une longueur d’avance et vous adapter aux dernières exigences de cybersécurité de l’IoT :
Identifier les vulnérabilités exploitables
Pour vous adapter et adopter les dernières exigences en matière de cybersécurité de l'IoT, vous devez identifier à quel stade des phases de conception, de développement, de production et de déploiement votre produit est susceptible d'être exposé à des vulnérabilités exploitables. Cela implique de comprendre les éventuelles failles de sécurité qui peuvent survenir lorsque les produits ont évolué dans la chaîne d'approvisionnement, par exemple entre les mains des importateurs et des distributeurs.
Éduquez vos utilisateurs
Étant donné que vous êtes responsable de la gestion des vulnérabilités et de la protection de toutes les données confidentielles que votre produit stocke, transmet et traite, il serait dans votre intérêt d'éduquer vos utilisateurs sur la manière de protéger leurs appareils IoT contre les cyberattaques. Cela peut impliquer d'inclure une fiche d'instructions physique incluse avec le produit ou de leur donner accès à un document en ligne contenant des recommandations en matière de cybersécurité. Certaines de ces bonnes pratiques et conseils peuvent inclure la déconnexion de leurs appareils IoT lorsqu'ils ne sont pas utilisés, la modification des paramètres par défaut de leur routeur, le choix d'un mot de passe fort et la mise à jour des logiciels et des micrologiciels.
Développer un cadre de cybersécurité
Bien que l'ARC vous donne une ligne directrice à suivre, votre entreprise doit disposer d'un cadre clair et défini à suivre. Ce cadre ne doit pas seulement dicter les processus et les programmes visant à maintenir les normes de cybersécurité pendant la conception et le développement, mais doit également décrire la fréquence à laquelle vous effectuerez des tests et des examens sur les titres du produit afin qu'ils restent en sécurité entre les mains du consommateur. Et lorsque les tests et les examens révèlent des vulnérabilités, vous devez être prêt à déployer des mises à jour et des correctifs de sécurité gratuitement.
Conserver des enregistrements appropriés de tous les problèmes et incidents
La tenue de registres précis de tous les problèmes et incidents vous aide à identifier les tendances et les schémas. Certains de ces rapports peuvent démontrer que vous ne suivez pas l'évolution des cyberattaques et, par conséquent, des pratiques de cybersécurité. Ils peuvent également révéler que vous avez des lacunes et des faiblesses dans vos opérations internes qui doivent être évaluées.
S'engager à signaler les problèmes identifiés
Le signalement de tout problème ou incident identifié dès que vous en avez connaissance est non seulement pour votre sécurité et celle des utilisateurs, mais vous permet également de rester en conformité avec les dernières exigences IoT et est dans l'intérêt de l'ensemble du secteur. Avec le CRA, vous êtes tenu de signaler tout problème dans les 24 heures suivant son identification. Et le fait de ne pas signaler ces incidents peut entraîner de lourdes amendes, voire l'interdiction de votre produit sur les marchés européens.
Enfin, l’avènement de la CRA n’est pas seulement un changement réglementaire, mais un appel clair aux acteurs de l’IoT pour qu’ils réévaluent, recalibrent et s’engagent à nouveau en faveur de niveaux de cybersécurité sans précédent. Les fabricants ne sont plus seulement des créateurs, ils sont les gardiens de la confiance des utilisateurs et les gardiens des cybermenaces. Alors que nous entrons dans cette nouvelle ère, il est impératif pour les entreprises d’anticiper de manière proactive les défis, en veillant à ce que la cybersécurité ne soit pas seulement une liste de contrôle, mais une philosophie bien ancrée. En restant informées, vigilantes et réactives, les entreprises peuvent non seulement répondre aux exigences fixées par la CRA, mais aussi mener la charge dans l’établissement de normes mondiales pour la cybersécurité de l’IoT. Embrassez ce cheminement, car en renforçant les défenses et en favorisant la confiance, nous ouvrons la voie à un avenir numérique plus sûr et plus résilient.