Le Cyber Resilience Act (CRA) a été publié le 20 novembre 2024. Ce nouveau règlement de l'UE contient des « exigences horizontales en matière de cybersécurité pour les produits à éléments numériques ». Autrement dit, il impose des exigences minimales de cybersécurité pour tous les produits connectés mis sur le marché de l'UE, rendant ainsi l'Internet des objets (IoT) plus sûr. Les nouvelles règles s'appliqueront dans tous les pays de l'UE et seront mises en œuvre progressivement. Il est finalement attendu que le CRA contribue à la vision du CCB de rendre la Belgique plus sûre sur le plan cyber en veillant à ce que les citoyens et les organisations, tant publiques que privées, soient moins vulnérables aux cyberattaques.

Pourquoi cette réglementation ?

Les citoyens et les organisations dépendent de plus en plus des produits connectés dans leurs activités quotidiennes. Pensez par exemple aux smartphones, aux caméras intelligentes utilisées à des fins de sécurité, aux compteurs intelligents qui sont utilisés pour optimiser la production et la consommation d'électricité, etc. Dans le même temps, de nombreux produits connectés mis sur le marché ont encore des normes de cybersécurité faibles (par exemple des mots de passe par défaut faibles, l'absence de chiffrement des données…), ce qui en fait des cibles idéales pour les cyberattaques. De telles vulnérabilités mineures peuvent même provoquer des attaques graves de la chaîne d'approvisionnement, affectant des entités essentielles, avec des impacts potentiellement graves sur notre économie et notre société dans son ensemble. Puisque les utilisateurs ne sont souvent pas conscients des risques et sont mal équipés pour se protéger, le CRA a été conçu pour s'assurer que les fabricants fassent leur part en concevant des produits plus sûrs d'un point de vue cyber et en facilitant la mise en sécurité des produits tout au long de leur cycle de vie.

Quels « produits connectés » sont concernés par le CRA ?

Les produits couverts par le CRA varient des produits bon marché pour les consommateurs aux logiciels B2B et aux systèmes industriels complexes. Plus précisément, les « produits à éléments numériques » sont définis comme des produits qui peuvent, d'une manière ou d'une autre, être connectés à un appareil ou à un réseau et comprennent :

• les produits matériels avec des fonctionnalités connectées telles que les smartphones, ordinateurs portables, caméras domestiques, montres intelligentes, jouets connectés, mais aussi les modems, pare-feu et compteurs intelligents,
• les logiciels qui ne sont pas intégrés dans un produit et vendus séparément, comme les logiciels de comptabilité et les applications de jeux mobiles.

Cependant, les produits suivants ne sont pas soumis aux exigences du CRA :

• les logiciels open source non commerciaux,
• les pièces détachées destinées à remplacer des composants identiques dans les produits connectés (à condition qu'elles soient fabriquées selon les mêmes spécifications),
• les prototypes présentés lors de salons commerciaux (sous certaines conditions),
• les logiciels non terminés utilisés à des fins de test pendant une période limitée (sous certaines conditions),
• les services cloud et les logiciels en tant que service (SaaS), qui sont régulés séparément par la directive NIS2,
• les produits « exclusivement développés ou adaptés à des fins de sécurité nationale ou de défense » ou spécifiquement conçus pour traiter des informations classifiées,
• les produits couverts par des législations européennes spécifiques telles que les dispositifs médicaux, les véhicules à moteur, le matériel maritime et les produits utilisés dans l'aviation civile.

Qui est soumis aux nouvelles règles ?

Tous les fabricants qui mettent des produits sur le marché de l'UE doivent se conformer au CRA, même s'ils sont établis en dehors de l'UE. Par exemple, le CRA s'applique à un développeur américain qui vend une application mobile sur des téléphones européens ou à un fabricant chinois qui vend des panneaux solaires en Belgique.

Le CRA impose principalement des obligations aux fabricants (concernant la conception, l'évaluation de la conformité de leurs produits, la déclaration des vulnérabilités et des incidents, la transparence à l'égard des utilisateurs...) afin de s'assurer que leurs produits sont sûrs avant d'être mis sur le marché de l'UE, mais aussi tout au long du cycle de vie du produit.

Le CRA contient également des dispositions qui concernent d'autres parties, telles que les importateurs, les distributeurs, les gestionnaires de logiciels open source (comme les fondations), les organismes d'évaluation de la conformité (OEC) et les autorités publiques (agences nationales de cybersécurité, autorités de surveillance du marché).

Quelles sont les principales obligations pour les fabricants de produits connectés ?

La principale nouveauté du CRA est qu'il définit un niveau minimum de cybersécurité pour tous les produits connectés disponibles sur le marché de l'UE – quelque chose qui n'existait pas auparavant. Par exemple :

• Conformément au principe du « cybersécurité by design », les produits connectés doivent être conçus en tenant compte de la cybersécurité, par exemple en veillant à ce que les données stockées ou transmises dans ou par le produit soient chiffrées et que la surface d'attaque soit aussi réduite que possible.
• Conformément au principe du « cybersécurité by default », les paramètres par défaut des produits connectés doivent, dans la mesure du possible, contribuer à réduire les vulnérabilités, par exemple en interdisant les mots de passe par défaut faibles, en prévoyant une installation automatique des mises à jour de sécurité, etc.
• Pour aider les utilisateurs à prendre des décisions d'achat en fonction non seulement du prix et de la fonctionnalité, mais aussi du niveau de cybersécurité, le CRA accroît la transparence pour les utilisateurs en exigeant une divulgation claire, sur le produit ou l'emballage, de la date de fin de la période de support, c'est-à-dire la date jusqu'à laquelle le fabricant s'engage à fournir des mises à jour de sécurité.
• Pour soutenir l'échange d'informations sur les vulnérabilités et garantir une résolution rapide via des correctifs, le CRA oblige à déclarer toutes les vulnérabilités activement exploitées, ainsi que les incidents graves affectant la sécurité des produits connectés, aux autorités publiques dans les 72 heures (avec un avertissement précoce dans les 24 heures). Afin de faciliter le processus de déclaration pour les fabricants et de garantir un échange sécurisé et efficace des données entre les équipes européennes de réponse aux incidents de sécurité informatique (CSIRT) et l'ENISA, le CRA prévoit la mise en place d'une nouvelle plateforme centrale de déclaration avec plusieurs « points de contact » nationaux.

Les règles sont-elles identiques pour tous les produits ?

Oui et non. D'une part, le CRA contient un ensemble unique d'exigences de cybersécurité qui s'appliquent à tous les produits connectés, qu'ils soient bon marché ou coûteux, qu'ils soient utilisés par des consommateurs individuels ou des utilisateurs professionnels avancés. Les obligations de déclarer les vulnérabilités et les incidents et d'indiquer clairement la fin de la période de support pour un produit, par exemple, s'appliquent à tous les types de produits.

D'autre part, la procédure permettant d'évaluer si les produits sont conformes aux règles du CRA diffère pour les produits standard et les produits considérés comme plus sensibles d'un point de vue cybersécurité. Ces produits, dits « importants » ou « critiques », sont inclus dans les annexes III et IV du règlement (par exemple, les gestionnaires de mots de passe, les pare-feu, les cartes intelligentes, les compteurs intelligents…). Ces produits devront suivre des procédures d'évaluation de la conformité plus strictes, par exemple obtenir une certification de cybersécurité de l'UE (ou une certification nationale équivalente), être évalués pour leur conformité par un auditeur tiers dans le cadre du système législatif actuel sur les produits (NLF), ou – dans des cas limités – se conformer aux normes harmonisées reconnues au niveau européen pour couvrir les exigences du CRA.

Qu'en est-il des logiciels open source ?

Il est important de noter que les logiciels open source non commerciaux, tels que les logiciels dont le code source est disponible publiquement et qui peuvent être téléchargés gratuitement, ne sont pas soumis aux obligations du CRA, car de nombreux projets open source reposent sur la contribution de bénévoles et imposer des obligations légales strictes à ces projets pourrait mettre en danger leur existence.

Cependant, d'autres types de logiciels open source sont distribués commercialement et peuvent être utilisés à grande échelle par des individus et des organisations dans le monde entier. Ces logiciels doivent être traités de la même manière que les autres logiciels commerciaux et sont donc soumis aux mêmes exigences du CRA.

Le CRA prévoit toutefois un régime spécifique pour les logiciels open source commerciaux gérés selon un modèle de fondation, car les fondations jouent souvent le rôle de « gestionnaires » de projets open source et ne peuvent être tenues responsables du travail des développeurs individuels. Dans le cadre du régime spécifique créé par le CRA, les gestionnaires de logiciels open source n'ont pas à suivre les procédures d'évaluation de la conformité du CRA, mais doivent documenter leur politique de cybersécurité. Ils doivent également déclarer les incidents graves et les vulnérabilités les concernant et sont encouragés à participer à des programmes de certification de sécurité volontaires.

N'y a-t-il pas un risque que les petits fabricants trouvent trop contraignant le respect de ces nouvelles règles ?

Pour s'assurer que les petites et micro-entreprises ne soient pas désavantagées par rapport aux grandes entreprises, le CRA inclut plusieurs dispositions visant à réduire la charge de conformité pour les PME. Des exemples de telles mesures incluent la possibilité pour les PME d'utiliser un format simplifié pour l'émission de la documentation technique de leurs produits et l'obligation pour les organismes d'évaluation de la conformité de tenir compte de la taille d'une entreprise lorsqu'ils déterminent le montant des frais à payer pour une évaluation de la conformité.

Les autorités publiques joueront également un rôle clé dans le soutien des petits fabricants dans leurs efforts de conformité. La Commission européenne s'est engagée à publier des lignes directrices du CRA spécialement destinées aux PME, tandis que chaque pays de l'UE doit établir un canal dédié pour la communication avec les micro- et petites entreprises afin de répondre à leurs questions et demandes de conseils sur la mise en œuvre du CRA.

Qu'est-ce que le CRA va signifier pour les consommateurs et les utilisateurs commerciaux de produits connectés ?

De nos jours, les consommateurs ont souvent du mal à savoir si un produit connecté est suffisamment sécurisé ou s'il peut être facilement piraté par des tiers. Grâce au CRA, les consommateurs européens peuvent être sûrs que les produits qu'ils achètent sur le marché de l'UE respectent des normes minimales et, par exemple, ne présentent pas de vulnérabilités connues importantes ni des paramètres par défaut faibles.

Mais le CRA permet également aux consommateurs de faire des choix plus éclairés en exigeant des fabricants qu'ils soient transparents sur le niveau de cybersécurité offert par leurs produits. L'une des principales innovations du CRA est qu'il oblige les fabricants à indiquer clairement, sur le produit, l'emballage ou une page web facilement accessible, jusqu'à quelle date les mises à jour de sécurité seront fournies pour le produit. En d'autres termes, les utilisateurs peuvent non seulement comparer les produits en fonction du prix et des fonctionnalités, mais aussi en fonction de la durée de la période de support – un indicateur clé pour garantir que les produits puissent être utilisés en toute sécurité pendant leur durée de vie prévue.

Quel rôle joue le CCB dans l'assurance de la mise en œuvre du CRA ?

En favorisant la cybersécurité par défaut et dès la conception, en rendant obligatoire la déclaration des vulnérabilités activement exploitéées et en garantissant un bon processus de mise à jour, le CRA aidera le CCB à réaliser sa vision de faire de la Belgique l'un des pays les moins vulnérables dans le domaine de la cybersécurité. En tant qu'autorité nationale en matière de cybersécurité :

• Il travaille à sensibiliser les citoyens et les organisations à l'importance de la cybersécurité et à promouvoir des mesures de protection efficaces. Ainsi, le CCB soutiendra la sensibilisation et la conformité au CRA, en accordant une attention particulière aux petits fabricants et développeurs. Par exemple, le Centre National de Coordination (NCC-BE) informera les acteurs du marché belge sur les possibilités de financement de l'UE, ainsi que sur les formations et outils disponibles pour soutenir la mise en œuvre du CRA.
• Il agit comme équipe de réponse aux incidents de sécurité informatique (CSIRT) pour la Belgique, recevant les signalements de vulnérabilités et d'incidents de la part des organisations, qu'ils soient obligatoires ou volontaires. Dans le cadre du CRA, le CCB rejoindra la future plateforme centrale de déclaration développée par l'ENISA pour recueillir les signalements de vulnérabilités et d'incidents des fabricants de produits connectés soumis aux exigences de déclaration du CRA.
• Il agit en tant qu'Autorité nationale de certification en cybersécurité (NCCA). À ce titre, le CCB contribue activement à l'élaboration des normes du CRA et joue un rôle dans la surveillance du cadre d'évaluation de la conformité du CRA – ce qui inclura dans certains cas une certification de cybersécurité.

Quand le CRA entre-t-il en vigueur ?

Le CRA entre officiellement en vigueur 20 jours après sa publication, soit le 10 décembre 2024. Étant donné qu'il s'agit d'un règlement de l'UE et non d'une directive, il est directement applicable dans tous les pays de l'UE sans nécessité de transposition nationale. Toutefois, une période de transition est prévue pour garantir que les opérateurs économiques disposent de suffisamment de temps pour se conformer aux nouvelles exigences. L'implémentation du CRA se déroulera donc en plusieurs étapes entre fin 2024 et 2027 :

• 18 mois après l'entrée en vigueur du CRA, les organismes d'évaluation de la conformité (OEC) seront habilités à évaluer la conformité des produits avec les exigences du CRA.
• 3 mois plus tard, les fabricants de produits connectés seront soumis aux obligations de déclaration des vulnérabilités et des incidents.
• Enfin, 3 ans après l'entrée en vigueur du CRA, toutes les exigences du CRA seront applicables, y compris les exigences essentielles de cybersécurité avant qu'un produit ne soit mis sur le marché, la gestion des vulnérabilités tout au long du cycle de vie du produit et la transparence à l'égard de l'utilisateur.