Questions et réponse sur le Cyber Resilience Act (CRA)
La législation sur la cyberrésilience ou Cyber Resilience Act (CRA) devrait entrer en vigueur à l'automne 2024. Voici quelques réponses préliminaires aux questions les plus fréquemment posées sur cette nouvelle réglementation européenne et sur son application en Belgique. Veuillez garder à l'esprit que les conseils fournis ici sont donnés à titre d'information uniquement et ne constituent pas un avis juridique. Le texte juridique de la CRA, une fois publié, prévaudra sur toutes les explications fournies ici.
Qu'est-ce que le CRA ?
Le CRA est le premier règlement européen qui impose des exigences minimales en matière de cybersécurité à tous les produits connectés mis sur le marché européen. Son objectif : rendre l'internet des objets plus sûr. Les nouvelles règles s'appliqueront à tous les pays de l'UE et seront mises en œuvre progressivement. Le CRA devrait contribuer à la vision du CCB consistant à rendre la Belgique moins vulnérable dans le domaine cyber en veillant à ce que les citoyens et les organisations, publiques comme privées, soient mieux protégés contre les cyberattaques.
Les citoyens et les organisations utilisent de plus en plus de produits connectés dans leur vie quotidienne. Dans le même temps, de nombreux produits connectés mis sur le marché présentent encore des standards de cybersécurité faibles (par exemple, des mots de passe par défaut peu sécurisés, des mécanismes de transfert ou de stockage de données non chiffrés, des processus de mise à jour difficiles...), ce qui en fait des cibles idéales pour les cyberattaques. Étant donné que les utilisateurs ne sont souvent pas conscients des risques et ne sont pas suffisamment équipés pour se protéger, le CRA vise à s’assurer que les fabricants contribuent à sécuriser leurs produits et à faciliter le maintien d’un haut niveau de cybersécurité tout au long du cycle de vie des produits.
Quels sont les "produits connectés" couverts par le CRA ?
Les produits couverts par le CRA vont des produits de consommation bon marché aux logiciels d’entreprises en passant par des systèmes industriels complexes. Plus précisément, les "produits comportant des éléments numériques" sont définis comme des produits pouvant être connectés à un dispositif ou à un réseau quelconque et comprennent :
- les produits physiques (hardware) dotés de fonctions connectées, tels que les smartphones, les ordinateurs portables, les caméras domestiques, les montres connectées, les jouets connectés, mais aussi les modems, les pare-feu et les compteurs intelligents,
- les logiciels (software) non intégrés dans un produit et vendus de manière distincte, par exemple les logiciels de comptabilité, les jeux en ligne ou encore les applications mobiles.
Les produits NON soumis aux exigences du CRA comprennent les logiciels libres non commerciaux, les services cloud et Software as a Service (SaaS), ces deux derniers étant déjà réglementés par la directive NIS2.
À qui s’appliquent les nouvelles règles ?
Tous les fabricants qui mettent des produits sur le marché européen devront se mettre en conformité avec le CRA, même s'ils sont établis en dehors de l'UE. Par exemple, la CRA s'applique à un développeur américain qui vend une application mobile sur des téléphones européens ou à un fabricant chinois qui vend des panneaux solaires en Belgique. En outre, les distributeurs et les importateurs de produits connectés devront également s'y conformer.
Quelles sont les nouvelles exigences ?
La grande nouveauté du CRA est la mise en place d’un niveau minimum de cybersécurité pour tous les produits connectés disponibles sur le marché européen, ce qui n'existait pas auparavant. Par exemple :
- Conformément au principe de "cybersecurity by design", les produits connectés devront être conçus en tenant compte de la cybersécurité, par exemple en veillant à ce que les données sensibles stockées ou transmises via le produit soient chiffrées et que la surface d'attaque soit aussi limitée que possible.
- Conformément au principe de "cybersecurity by default", les paramètres par défaut des produits connectés devront, dans la mesure du possible, contribuer à réduire les vulnérabilités, par exemple en interdisant les mots de passe faibles par défaut, en prévoyant l'installation automatique des mises à jour de sécurité, etc.
- Afin d'aider les utilisateurs à prendre des décisions d'achat en connaissance de cause, c'est-à-dire non seulement en fonction du prix et des fonctionnalités, mais aussi en fonction du niveau de cybersécurité, le CRA renforce la transparence envers les utilisateurs. Le règlement exige, entre autres, que la date de fin de la période d'assistance - c'est-à-dire la date jusqu'à laquelle le fabricant s'engage à fournir des mises à jour de sécurité – soit la clairement mentionnée sur le produit ou sur son emballage.
- Afin de favoriser l'échange d'informations sur les vulnérabilités et leur remédiation rapide, le CRA exige que toutes les vulnérabilités activement exploitées, ainsi que les incidents graves ayant une incidence sur la sécurité des produits connectés, soient signalés aux autorités publiques dans un délai de 72 heures (avec une alerte rapide dans un délai de 24 heures). Pour faciliter le processus de notification pour les fabricants et pour garantir un partage sûr et efficace des données entre les équipes européennes de réponse aux incidents de sécurité informatique (CSIRT) et l'ENISA, le CRA prévoit la création d'une nouvelle plateforme unique de notification avec différents "points finaux" nationaux.
Les règles seront-elles identiques pour tous les produits ?
Oui, et non. D'un côté, le CRA contient un ensemble unique d'exigences en matière de cybersécurité qui s'appliqueront à tous les produits connectés, qu'ils soient bon marché ou coûteux, qu'ils soient utilisés par des consommateurs individuels ou par des utilisateurs professionnels avertis. L'obligation de signaler les vulnérabilités et d'indiquer clairement la fin de la période d'assistance sur le produit, par exemple, s'appliquera à tous les types de produits.
D’un autre côté, la procédure d'évaluation de la conformité des produits dans le cadre du CRA sera différente pour les produits « standards » et pour les produits jugés plus sensibles du point de vue de la cybersécurité. Ces derniers sont appelés produits "importants" ou "critiques" et sont énumérés dans les annexes III et IV du règlement (par exemple, les gestionnaires de mots de passe, les pare-feu, les cartes à puce, les compteurs intelligents...). Ces produits serons soumis à des procédures d'évaluation de la conformité plus strictes, par exemple via l’obtention d’une certification de cybersécurité européenne (ou une certification nationale correspondante), via une évaluation de conformité par un auditeur externe dans le cadre de la législation existante sur les produits (NLF), ou - dans des cas limités – via la mise en place de normes harmonisées reconnues au niveau européen pour couvrir les exigences du CRA. L'UE travaille actuellement à l'élaboration des normes nécessaires pour ces différents types de produits.
Qu'en est-il des logiciels libres ?
Les logiciels libres non commerciaux ne sont pas soumis aux obligations du CRA, compte tenu du fait que de nombreux projets open source reposent sur la contribution de bénévoles. L'imposition d'obligations juridiques strictes à de tels projets risquerait d'en compromettre l'existence.
Toutefois, les logiciels libres distribués à des fins commerciales seront traités de la même manière que les autres logiciels soumis aux exigences du CRA. À titre d'exception, au sein de cette catégorie, le CRA prévoit un régime spécial pour les logiciels libres à vocation commerciale gérés dans le cadre d'un modèle de fondation, compte tenu du fait que les fondations agissent généralement en tant que « coordonnatrices » de projets open source et ne peuvent donc être tenues pour responsables du travail des développeurs individuels.
Pour tenir compte du fait que de nombreux produits commerciaux reposent en grande partie sur des logiciels libres, le CRA oblige les fabricants (ou les distributeurs ou les importateurs) de ces produits à s'assurer que les logiciels libres qu'ils utilisent sont suffisamment sécurisés. De cette manière, la possibilité d'attaques de la chaîne d'approvisionnement est limitée.
Les petites entreprises et entrepreneurs ne risquent-ils pas d’être désavantagés par le coût de la mise en conformité avec le CRA ?
Afin de s'assurer que les microentreprises et les petites entreprises ne sont pas désavantagées par rapport aux grandes entreprises, le CRA comprend plusieurs dispositions visant à réduire la charge de conformité pour les PME. Parmi ces mesures figurent la possibilité pour les PME d'utiliser un format simplifié pour la publication de la documentation technique de leurs produits et l'obligation pour les organismes d'évaluation de la conformité de tenir compte de la taille de l'entreprise lorsqu'ils déterminent le montant des frais à payer pour les évaluations de conformité.
Les autorités publiques ont également un rôle clé à jouer pour soutenir les petites entreprises dans leurs efforts de mise en conformité. La Commission européenne s'est engagée à publier des orientations sur le CRA spécialement destinées aux PME, tandis que chaque pays de l'UE doit mettre en place un canal de communication dédié aux micro et petites entreprises afin de répondre à leurs questions et demandes de conseils sur la mise en œuvre du CRA.
Le CRA prévoit la création d'une plateforme unique pour le signalement des vulnérabilités au niveau européen. Cela ne va-t-il pas permettre à des acteurs malveillants de trouver et d'exploiter plus facilement ces vulnérabilités ?
Tout d'abord, il est important de souligner que les fabricants ne devront signaler à la plateforme unique que les failles activement exploitées. Cela signifie que les vulnérabilités notifiées dans le cadre de l'ARC auront déjà été utilisées par des acteurs malveillants pour mener des cyberattaques.
Deuxièmement, l'objectif de la plateforme unique de signalement est d'assurer une transmission fluide et efficace des informations sur les vulnérabilités et les incidents entre les agences nationales de cybersécurité (Computer Security Computer Security Incident Response Teams), et avec l'ENISA. La plateforme ne stockera pas d'informations sensibles concernant, par exemple, des vulnérabilités non corrigées. Plusieurs garanties techniques, opérationnelles et organisationnelles seront mises en place pour s'assurer que la plateforme est développée et fonctionne de manière totalement sécurisée, en accordant une attention particulière à la confidentialité des données transmises.
Enfin, il ne faut pas confondre la plateforme unique de signalement établie par l'ARC avec la base de données européenne sur les vulnérabilités établie par la directive NIS2.
Que signifiera le CRA pour les consommateurs et les utilisateurs professionnels de produits connectés ?
Aujourd'hui, il est difficile pour les consommateurs de savoir si un produit connecté est suffisamment sécurisé ou s'il peut être facilement piraté par des tiers. Grâce au CRA, les consommateurs européens auront la garantie que les produits qu'ils achètent dans l'UE sont conformes à des normes de cybersécurité minimales et ne présentent pas, de vulnérabilité majeure connue, ou de paramètres par défaut avec un faible niveau de cybersécurité.
Le CRA permettra également aux consommateurs de faire des choix plus éclairés en exigeant des fabricants qu'ils fassent preuve de transparence quant à la période d’assistance des produits connectés, à savoir la date jusqu’à laquelle ils s’engagent à fournir des mises à jour de sécurité. En d'autres termes, les utilisateurs pourront comparer les produits non seulement en fonction de leur prix et de leurs caractéristiques, mais aussi en fonction de la durée de la période d’assistance - un indicateur important pour garantir que les produits peuvent être utilisés en toute sécurité pendant leur durée de vie prévue.
Quand le CRA va-t-il entrer en vigueur ?
Le CRA étant un règlement européen et non une directive, il sera directement applicable dans tous les pays de l'UE sans qu'il soit nécessaire de le transposer au niveau national. Une période de transition est toutefois prévue pour permettre aux opérateurs de disposer de suffisamment de temps pour s'adapter aux nouvelles exigences. Le Parlement européen a déjà voté sur une version préliminaire du texte. Après une révision juridico-linguistique, la législation devrait être officiellement votée par le Parlement européen nouvellement élu et par le Conseil de l'UE d’ici la fin de l'été 2024. Le texte final sera alors publié au Journal officiel de l'UE et entrera en vigueur 20 jours plus tard. La mise en œuvre du CRA se fera ensuite en plusieurs étapes entre la fin de l'année 2024 et l'année 2027 :
- 18 mois après l'entrée en vigueur du CRA, donc probablement vers le printemps 2026, les organismes d'évaluation de la conformité seront autorisés à évaluer la conformité des produits aux exigences du CRA.
- 3 mois plus tard, donc probablement vers l'été 2026, les fabricants de produits connectés seront soumis aux obligations de déclaration des vulnérabilités et des incidents.
- Enfin, 3 ans après l'entrée en vigueur du CRA, donc pas avant l'automne 2027, toutes les exigences légales s'appliqueront, y compris les normes minimales de cybersécurité avant la mise sur le marché d'un produit, la gestion des vulnérabilités pendant tout le cycle de vie du produit, et la transparence vis-à-vis des utilisateurs.