Le Cyber Resilience Act de l’UE renforce les règles de cybersécurité pour les appareils IoT intelligents
L’UE annoncera aujourd’hui des réglementations plus strictes en matière de cybersécurité pour les appareils intelligents de l’Internet des objets (IoT) dans sa loi sur la cyber-résilience, y compris de lourdes amendes pour les fabricants et les développeurs de logiciels qui ne respectent pas les nouvelles règles. Les documents relatifs à la loi montrent que les entreprises devront obtenir un certificat obligatoire pour montrer qu’elles respectent les exigences de base en matière de cybersécurité.
Bien que tous les détails de l’acte ne soient révélés que plus tard dans la journée, des experts en cybersécurité ont déclaré Moniteur technique que la législation, parallèlement au projet de loi britannique sur la sécurité des produits et l’infrastructure des télécommunications (PSTI), est un pas dans la bonne direction et que les fabricants devront prendre des mesures plus tôt dans la chaîne d’approvisionnement pour alléger la charge de sécurité de l’utilisateur final.
Le Cyber Resilience Act est en préparation depuis octobre 2021, et en mars la Commission européenne a ouvert une consultation publique sur l’initiative, qui s’est clôturée fin mai. Au cours de cette période, 109 éléments de preuve individuels ont été soumis pour examen. Le règlement devrait devenir loi d’ici 2024.
Qu’est-ce que la loi européenne sur la cyber-résilience ?
Selon des documents vus par le Financial Times et Reuters, la nouvelle loi obligera les fabricants d’appareils IoT à informer les autorités et les consommateurs des attaques et les obligera à mettre en place des solutions rapides aux problèmes. Cela signifiera également que la Commission européenne pourra frapper les entreprises qui ne se conforment pas à des sanctions allant jusqu’à 15 millions, soit 2,5 % du chiffre d’affaires mondial des années précédentes. On dit également que la nouvelle réglementation donnera à l’UE le pouvoir de rappeler et d’interdire les produits non conformes.
Dans le cadre du document confidentiel vu par le FT, une étude a montré que seulement la moitié des entreprises concernées (23 000 fabricants de matériel et 370 000 fabricants de logiciels) appliquaient des garanties adéquates contre les cyberattaques. Cette recherche a également révélé que les deux tiers des cyberattaques provenaient de violations précédemment détectées que les fabricants n’avaient pas réussi à corriger, mettant un chiffre de 5,5 milliards d’ici 2021 par rapport au coût annuel mondial de la cybercriminalité liée à ces appareils.
Les pays européens pourront apporter leur contribution à la proposition après l’annonce d’aujourd’hui, a déclaré Reuter. On espère que les règles réduiront le coût des cyber-incidents pour les entreprises jusqu’à 290 milliards par an.
Comment le Cyber Resilience Act se compare-t-il au projet de loi britannique PSTI ?
Dans le cadre du discours de Mays Queens, le Royaume-Uni a annoncé le projet de loi PTSI (Product Security and Telecommunications Infrastructure), conçu pour protéger les appareils IoT. Les trois principales exigences auxquelles les fabricants devront se conformer en vertu de la loi sont de ne plus utiliser de mots de passe par défaut, de confirmer la durée pendant laquelle les mises à jour de sécurité seront fournies après le lancement de l’appareil et de divulguer les vulnérabilités connues.
Cependant, Rik Ferguson, vice-président du renseignement de sécurité chez Forescout, affirme que le projet de loi britannique est en réalité un cadre qui habilite le gouvernement à spécifier les exigences de sécurité par le biais d’instruments réglementaires. Il dit qu’à un niveau élevé, la loi sur la cyber-résilience semble avoir un mandat plus large, visant les produits numériques et les services auxiliaires.
Contenu de nos partenaires
La législation britannique utilise les termes plus spécifiques produit connectable à Internet et produit connectable au réseau, oubliant peut-être qu’internet est en effet aussi un réseau, dit-il.
Le futuriste de la sécurité dit qu’il souhaite que les réglementations européennes couvrent l’ensemble du cycle de vie des produits connectés, des logiciels et des services cloud associés. Peut-être même des bibliothèques et des outils open source, tels que Log4j [could be included], il continue. Dans une proposition de cette portée, la législation britannique serait plus comparable à une sous-section.
Le professeur John Goodacre, directeur du défi UKRIs Digital Security by Design et professeur d’architectures informatiques à l’Université de Manchester, a déclaré Moniteur technique que l’approche actuelle de réaction et de correctifs en matière de cybersécurité n’est pas viable et que le projet de loi britannique et la loi européenne sur la cyber-résilience contribueront à déplacer le fardeau de la cyberdéfense de l’utilisateur vers le début de la chaîne d’approvisionnement.
La réglementation de l’UE s’accompagne de défis
Ross Brewer, vice-président et directeur général pour les régions EMEA et APJ chez le fournisseur de sécurité AttackIQ, a déclaré Moniteur technique qu’il prévoit des problèmes avec le nouveau règlement de l’UE et que l’UE essaie de faire face au même vieux problème rencontré en matière de cybersécurité.
Réglementer les produits dans le domaine de l’IdO, là où ils ne sont pas nécessairement conçus, développés et lancés en tenant compte de la cybersécurité, est une bonne chose car tout ce que nous pouvons faire pour amener les fabricants et les fournisseurs à reconnaître l’importance de la cybersécurité est positif, explique-t-il. Le défi vient du fait que, lorsque vous examinez n’importe quel règlement de l’UE, son développement va prendre de nombreux mois et années, et le problème est qu’au fil du temps, les règlements sont édulcorés au plus petit dénominateur commun, ce qui signifie qu’ils deviennent assez faciles satisfaire.
Il avertit également que les régulateurs devront réfléchir au coût associé à l’application de la loi dans toute l’UE et à une grande variété de produits et services. Le coût élevé sera ensuite répercuté sur les entreprises puis sur les consommateurs, entraînant une inflation plus élevée, prévient-il.
Tech Monitor organise une table ronde en association avec Intel vPro sur la manière d’intégrer la sécurité dans les opérations. Pour plus d’informations, visitez NSMG.live.