La mise en œuvre de mesures réglementaires est une action particulièrement justifiée en raison du rythme rapide d’adoption de l’Internet des objets (IoT) et de la récurrence généralisée des attaques de cybersécurité tentant de tirer parti des failles et des failles de sécurité de nombreux appareils IoT.
La réglementation de l’IoT est relativement récente et n’est pas encore bien établie. Cela est principalement dû au fait que les menaces continuent d’évoluer, tout comme la technologie IoT elle-même. La réglementation de l’IoT a commencé en 2019 et de nombreux fabricants ont encore aujourd’hui de nombreuses questions et préoccupations, notamment en ce qui concerne les réglementations applicables et la question de savoir si la conformité offrira suffisamment de sécurité pour garantir la sécurité des fabricants et des utilisateurs finaux.
Les défis résident également dans les délais complexes et souvent longs du développement et du déploiement de l'IoT, qui impliquent d'autres processus tels que la conception, l'achat, l'approvisionnement et l'exploitation. Cela soulève la question de savoir à quelle réglementation un appareil doit se conformer et à quelle étape de son cycle de vie. Examinons certaines des mesures prises par le gouvernement et les décisions qui ont un impact sur la réglementation relative à la sécurité des appareils IoT.
Loi sur la cyber-résilience (LCR)
En 2020, le Conseil a reconnu les risques croissants en matière de cybersécurité pour les appareils connectés. Le Conseil a déclaré que « la cybersécurité et la confidentialité devraient être reconnues comme des exigences essentielles dans l'innovation des produits, les processus de production et de développement − y compris la phase de conception (sécurité dès la conception) − et devraient être garanties tout au long du cycle de vie d'un produit
« Le Conseil a demandé à la Commission de proposer des exigences communes en matière de cybersécurité pour les appareils IoT et les services associés, et ce, le 23 mai 2022. La loi n'entrera en vigueur qu'en 2024. »
En tant que première législation européenne consacrée à la cybersécurité des produits IoT, le Cyber Resilience Act vise à combler les lacunes des réglementations existantes en matière de cybersécurité.
La CRA proposée concerne à la fois le matériel et les logiciels, dans le but de réduire le nombre de produits numériques présentant des vulnérabilités sur le marché. Les principales dispositions de la CRA proposée entraîneront des changements dans les responsabilités des acteurs de la chaîne d'approvisionnement, notamment les fabricants, les importateurs et les distributeurs.
Pour les fabricants, la cybersécurité doit être prise en compte par défaut dès les phases de conception et de développement afin d’éviter les vulnérabilités exploitables. Les fabricants sont également tenus de fournir aux utilisateurs des informations sur les procédures d’évaluation de la conformité du produit numérique et sa documentation technique. Les obligations du fabricant en matière de cybersécurité seront réparties entre deux domaines principaux : les exigences de sécurité du produit numérique et ses exigences de gestion des vulnérabilités. Cela signifie que les fabricants sont responsables de la conception, du développement et de la production de produits numériques sans vulnérabilités exploitables connues ; ils doivent également protéger la confidentialité des données que le produit numérique stocke, transmet et traite.
Une fois le produit mis sur le marché, le fabricant est tenu de procéder à des tests et des examens réguliers de la sécurité du produit, de tenir un registre de tous les problèmes identifiés et de les résoudre en fournissant des mises à jour et des correctifs de sécurité gratuits. Tous les problèmes identifiés et les vulnérabilités exploitées doivent être signalés à l'Agence de l'Union européenne pour la cybersécurité (ENISA) dans les 24 heures suivant l'identification des problèmes ou des incidents de sécurité.
Les appareils IoT qui ne respectent pas les exigences de la réglementation seront bannis des marchés européens. La CRA définit également les procédures d'évaluation de la conformité et de mise en conformité, ainsi que les amendes prévues en cas de non-respect des obligations énoncées dans la CRA.
En tant que première législation européenne couvrant la cybersécurité des produits IoT, la loi sur la cyber-résilience vise à combler les lacunes de la réglementation existante en matière de cybersécurité. La CRA proposée porte à la fois sur le matériel et les logiciels, dans le but de réduire le nombre de produits numériques présentant des vulnérabilités sur le marché.