L'ère numérique a transformé notre monde, nous apportant des maisons intelligentes, des appareils IoT, des technologies portables et bien plus encore. Ces commodités, alimentées par des équipements radio, nous connectent de manière inédite, mais elles présentent également de nouveaux défis en matière de cybersécurité.
En réponse à cela, l’Union européenne a travaillé avec diligence pour assurer la sécurité et la sûreté de ces appareils, comme en témoignent le récent acte délégué RED et les premières ébauches des futures normes harmonisées qui y sont associées. Les efforts diligents des experts du CEN CENELEC JTC 13/WG 8 ont abouti à un premier ensemble de normes, destiné à améliorer la cybersécurité des équipements radio sur le marché européen.
En définissant des exigences communes de sécurité pour les équipements, les fabricants disposent désormais d’un cadre clair pour évaluer et gérer les risques. La cybersécurité devenant plus importante que jamais, de telles initiatives constituent un pas dans la bonne direction pour un avenir numérique plus sûr.
Voici les 10 principales choses que vous devez savoir à ce stade :
1. Publication et mise en œuvre
Le règlement délégué RED (2022/30) a été publié le 12 janvier 2022. Il active les exigences qui garantissent la fonctionnalité du réseau, la confidentialité des données des utilisateurs et la protection contre la fraude. L'application de ce règlement commencera pleinement le 1er août 2025.
2. Équipements concernés
Cette réglementation concerne un large éventail d'équipements : des appareils radio connectés à Internet, des technologies portables, des jouets et même des équipements facilitant le transfert d'argent ou de monnaie virtuelle. Il est intéressant de noter que les équipements de puériculture relèvent également de son champ d'application.
3. Des exemptions existent
Tous les équipements radioélectriques ne sont pas concernés par tous les articles de ce règlement. Par exemple, les dispositifs médicaux bénéficient de certaines exemptions, ce qui garantit que l'environnement réglementaire reste adaptable et précis.
4. Exigences de base
Le fondement de cette réglementation est de renforcer la sécurité et la protection. Les équipements doivent donc être dotés de fonctionnalités telles que la surveillance et le contrôle du trafic réseau, l'atténuation continue des cyberattaques, des mesures d'authentification robustes et la protection des données des utilisateurs. De plus, le matériel et les logiciels doivent être régulièrement mis à jour pour une sécurité renforcée.
5. Un regard plus approfondi sur les normes futures
Trois premiers projets de normes harmonisées ont été introduits, répondant à des exigences spécifiques :
- prEN 18031-1 : Se concentre sur les équipements radio connectés à Internet, abordant les risques liés à la sécurité et au réseau.
- prEN 18031-2 : Englobe divers équipements radio, y compris les jouets et les objets portables, et traite des risques liés à la sécurité et à la confidentialité.
- prEN 18031-3 : Se concentre sur les équipements radio connectés à Internet qui gèrent la monnaie virtuelle, en mettant l'accent sur la sécurité et les risques financiers.
6. Focus sur la méthodologie
Ces normes utilisent une méthodologie unique garantissant la pertinence. Elles disposent de mécanismes traitant de l'applicabilité, de la suffisance et même des arbres de décision pour une plus grande clarté. En outre, des aspects tels que les protocoles réseau, la prise en charge des équipements existants et les interfaces publiques ont été abordés dans ces normes.
7. Processus d’évaluation complet
L'évaluation comprend un processus en trois étapes. Il s'agit d'une évaluation conceptuelle, qui garantit que la documentation est appropriée, d'une évaluation de l'exhaustivité fonctionnelle, qui vérifie l'exhaustivité de la documentation, et d'une évaluation de la suffisance fonctionnelle, qui teste la mise en œuvre par rapport aux menaces potentielles.
8. Approche axée sur la sécurité
Dans un contexte de cybermenaces en constante évolution, ces normes s'appuient sur une philosophie de sécurité dès la conception et de défense en profondeur. Ces normes sont conçues avec prévoyance, anticipant les évolutions du paysage numérique.
9. La terminologie est importante
Dans le cadre de ces réglementations, le terme « équipement » est privilégié par rapport à celui de « produit », se rapprochant ainsi davantage de la nomenclature juridique de la RED.
10. Les commentaires sont encouragés
Comme ces premières versions de normes couvrent un large éventail d'équipements, nous recherchons activement des retours d'information à ce stade jusqu'à ce que nous parvenions à une harmonisation complète. Ceux qui souhaitent apporter leur contribution peuvent le faire via les comités miroirs nationaux du CEN-CENELEC JTC 13 pendant la phase ENQuiry. Des entités comme Red Alert Labs peuvent également vous guider et vous soutenir dans vos processus de retour d'information.
Enfin, le monde des équipements radio et de l’IoT est dynamique, innovant et plein de potentiel. Mais comme tout domaine d’innovation, il comporte des risques. L’engagement de l’UE à s’attaquer de front à ces risques, tout en favorisant un espace de créativité et de croissance, est louable. Alors que nous continuons à intégrer la technologie plus profondément dans notre vie quotidienne, ces normes serviront de guide, garantissant un paysage numérique plus sûr et plus sécurisé pour tous.
Entrez en contact avec des experts spécialisés pour obtenir la formation, le conseil ou l'évaluation adéquate pour prouver la conformité à l'acte délégué de la directive RED avec la stratégie la plus appropriée.
Restez à l’écoute de notre blog pour plus de mises à jour sur l’évolution du monde des normes et réglementations de sécurité numérique.