Bruxelles s’attaque aux objets connectés
Numérique. La Commission européenne a présenté une nouvelle loi pour imposer des normes en matière de cybersécurité.
Sur le volet cybersécurité, l’Europe s’attaque aux produits dotés d’une composante numérique. Sa nouvelle loi devrait établir le seuil minimum de sécurité pour les produits de l’Internet des objets dans le monde entier et donnera un avantage concurrentiel aux fabricants européens. Les produits non conformes pourront être sanctionnés. De plus en plus de produits tels les voitures, les jouets, l’électroménager ou les smartphones sont connectés et il apparaît nécessaire d’établir des normes communes européennes de cybersécurité. Le nouveau texte vise à encadrer la mise sur le marché des objets connectés, qui jusqu’ici ne sont soumis à aucune obligation en la matière et dont la sécurité n’est généralement pas la priorité de ses concepteurs.
75 milliards d’objets d’ici 2025
Alors que 75 milliards d’objets sont attendus dans le monde d’ici 2025 et que les cyberattaques prolifèrent, il est devenu nécessaire de poser des « exigences essentielles » aux producteurs et distributeurs en matière de cybersécurité pour tout objet connecté ou logiciel. Ceux-ci seront priés de mettre sur le marché des objets qui ne comportent pas de vulnérabilité connue, de limiter les surfaces d’attaque, de protéger leurs produits contre tout accès non autorisé ou encore d’avoir des mises à jour de sécurité. Ce dispositif complète la législation NIS qui porte sur la sécurité des infrastructures critiques. Le nouveau texte est transectoriel et concerne tout produit ayant une composante numérique, que ce soit du hardware, mais aussi des logiciels embarqués dont les ordinateurs portables, les appareils intelligents équipant les maisons, les téléphones portables, les équipements réseaux ou encore les puces.
En revanche, les logiciels open source qui ne sont pas commercialement actifs, certains dispositifs médicaux et certaines pièces du secteur de l’automobile ou de l’aviation sont exclus, ces derniers bénéficiant déjà de dispositifs règlementaires efficients. Un traitement spécial est prévu pour 10 % de ces produits jugés critiques tels certains systèmes d’exploitation, les émetteurs de certificats numériques, les pares-feux ou encore les modems. Un tiers indépendant devra examiner la conformité du produit. Les produits respectant ces normes bénéficieront d’un marquage CE. Ceux non conformes s’exposent à une amende (15 millions d’euros ou 2,5 % du chiffre d’affaires selon celui qui est le plus élevé) ou pourront faire l’objet d’un rappel ou d’un retrait du marché.