La législation sur la cyberrésilience ou Cyber Resilience Act (CRA) est un nouveau règlement européen qui prévoit de sécuriser les produits connectés. Une fois officiellement adopté à l'automne 2024, le CRA devrait avoir un impact durable sur le paysage de la cybersécurité en Europe, avec des effets positifs tangibles sur notre société et notre économie. En tant qu'autorité nationale pour la cybersécurité, le CCB a déjà entamé des préparatifs au niveau belge pour aider les opérateurs économiques à se conformer aux nouvelles règles.

Mais qu'est-ce que le CRA exactement ? Quels sont les produits qui tomberont sous le coup des nouvelles règles ? Que doivent faire les fabricants ? Quel sera l'impact du CRA sur les consommateurs ? Et, surtout, quand les nouvelles règles entreront-elles en vigueur ?

Cette page fournit des réponses préliminaires à ces questions et sera mise à jour dans les mois à venir avec des explications plus détaillées.

1. Champ d'application des produits couverts

Le CRA est le premier règlement européen à imposer des exigences minimales en matière de cybersécurité à tous les produits connectés mis sur le marché de l'Union européenne. Son objectif : rendre l'internet des objets (IoT ou « Internet of Things ») plus sûr.

Les produits concernés par le CRA vont des produits de consommation bon marché aux logiciels pour entreprises, en passant par des systèmes industriels complexes. Plus précisément, les "produits comportant des éléments numériques" sont définis comme des produits pouvant être connectés à un dispositif ou à un réseau quelconque et comprennent :

• les produits physiques (hardware) dotés de fonctions connectées, tels que les smartphones, les ordinateurs portables, les caméras domestiques, les montres connectées, les jouets connectés, mais aussi les modems, les pare-feu et les compteurs intelligents,
• les logiciels (software) non intégrés dans un produit et vendus de manière distincte, par exemple les logiciels de comptabilité, les jeux en ligne ou encore les applications mobiles.

Les produits NON soumis aux exigences du CRA comprennent les logiciels libres non commerciaux, les services cloud et Software as a Service (SaaS), ces deux derniers étant déjà réglementés par la directive NIS2.

2. Principales obligations des fabricants

Tous les fabricants qui mettent des produits sur le marché européen devront se mettre en conformité avec le CRA, même s'ils sont établis en dehors de l'UE. Les nouvelles exigences comprennent trois grands types de dispositions :

• des exigences minimales conformes aux principes de "cybersécurité dès la conception" et de "cybersécurité par défaut", qui s'appliquent aux produits avant leur mise sur le marché (par exemple, s'assurer que les données sensibles stockées dans le produit sont chiffrées, que la surface d'attaque est aussi limitée que possible, ...),
• des obligations tout au long du cycle de vie du produit connecté, notamment en ce qui concerne la gestion des vulnérabilités (par exemple, l'installation automatique de mises à jour de sécurité par défaut, ...)
• des règles relatives à la surveillance du marché et au contrôle de l’application du règlement, avec différents niveaux d'évaluation de la conformité en fonction de l'importance et de la criticité du produit, allant de l'auto-évaluation par le fabricant à des audits ou certifications obligatoires par une tierce partie.

3. Impact pour les utilisateurs

Aujourd'hui, les consommateurs ont souvent du mal à savoir si un produit connecté est suffisamment sûr ou s'il peut être facilement piraté par des tiers. Grâce au CRA, les consommateurs auront la garantie que les produits qu'ils achètent dans l'UE sont conformes à des normes minimales et ne présentent pas, par exemple, de vulnérabilité majeure connue, ou de paramètres par défaut avec un faible niveau de cybersécurité.

Le CRA permettra également aux consommateurs de faire des choix plus éclairés en exigeant des fabricants qu'ils fassent preuve de transparence quant à la période d’assistance des produits connectés, à savoir la date jusqu’à laquelle ils s’engagent à fournir des mises à jour de sécurité. En d'autres termes, les utilisateurs pourront comparer les produits non seulement en fonction de leur prix et de leurs caractéristiques, mais aussi en fonction de la durée de la période d’assistance - un indicateur important pour garantir que les produits peuvent être utilisés en toute sécurité pendant leur durée de vie prévue.

4. En savoir plus

La mise en œuvre du CRA se fera en plusieurs étapes, de fin 2024 à 2027. Pour en savoir plus, lisez nos questions et réponses sur le CRA .