Le paysage technologique d’aujourd’hui évolue à une vitesse sans précédent, créant des défis complexes pour les organisations qui cherchent à suivre le rythme. Si ces avancées stimulent la croissance des entreprises et l’innovation, les mêmes technologies sont de plus en plus exploitées par des cybercriminels pour lancer des attaques hautement sophistiquées et ciblées. À mesure que le paysage des menaces prend de l’ampleur et se complexifie, les stratégies de continuité organisationnelle doivent évoluer au-delà des contrôles de sécurité traditionnels et s’aligner sur les principes de la véritable cyberrésilience.

Les produits numériques non sécurisés—des appareils exécutant des micrologiciels obsolètes aux environnements infonuagiques mal configurés et aux composants tiers vulnérables—se sont imposés comme des catalyseurs majeurs des violations de données modernes. En réponse, les organismes de réglementation, en particulier dans l’Union européenne, renforcent leurs exigences afin de s’assurer que les organisations peuvent non seulement prévenir les incidents de cybersécurité, mais également y résister, y répondre et s’en remettre rapidement. La Loi sur la cyberrésilience de l’UE illustre bien ce changement, établissant un cadre solide pour élever la sécurité des produits numériques, renforcer la résilience opérationnelle et renforcer la confiance dans l’écosystème numérique.

Présentation de la Loi sur la cyberrésilience : La Loi sur la cyberrésilience (Règlement européen 2024/2847) est un règlement de cybersécurité de l’UE qui s’applique aux opérateurs économiques impliqués dans la production et la distribution de produits comportant des éléments numériques (PEN), étendant les exigences à l’ensemble du cycle de vie du produit. La Loi sur la cyberrésilience fixe des exigences uniformes en matière de cybersécurité pour la conception, le développement, la production et la distribution de produits afin de protéger les consommateurs et les entreprises qui s’appuient sur des logiciels ou d’autres produits comportant des éléments numériques. La LCR vise à atténuer le manque de cybersécurité de nombreux produits ainsi que les retards dans la livraison des mises à jour de sécurité nécessaires.

Périmètre et produits couverts : La LCR s’applique aux « produits comportant des éléments numériques », c’est-à-dire tout produit matériel ou logiciel et ses solutions de traitement de données à distance, y compris les composants vendus séparément.

Logiciel : Code informatique faisant partie d’un système d’information électronique (ex. : systèmes d’exploitation, applications).

Matériel : Systèmes ou composants électroniques physiques qui traitent, stockent ou transmettent des données numériques (ex. : puces, processeurs).

Solutions de traitement de données à distance : Services infonuagiques ou à distance fournis par ou pour le fabricant et essentiels au fonctionnement d’un produit (ex. : fonctionnalités infonuagiques permettant le contrôle d’un appareil domotique).

Opérateurs économiques concernés : Fabricants, importateurs, distributeurs et autres fournissant des produits numériques sur le marché de l’UE.

Obligations de base en vertu de la LCR :

i. Fabricants : Il est obligatoire pour le fabricant de produits comportant des éléments numériques de se conformer aux exigences en cybersécurité avant leur mise sur le marché.

• S’assurer que les risques liés à la cybersécurité sont évalués, que les produits sont configurés de façon sécuritaire, protégés contre les accès non autorisés, garantissent la confidentialité et l’intégrité des données, préservent les fonctions essentielles et minimisent les impacts négatifs.
• Les vulnérabilités doivent être identifiées, évaluées, documentées et prises en charge rapidement.
• Mettre en œuvre des tests et évaluations de sécurité robustes, établir une politique claire de divulgation des vulnérabilités et maintenir des mécanismes permettant la mise à jour automatique des mesures de sécurité.
• S’assurer de l’utilisation de composants sécuritaires et fiables et faire preuve de la diligence raisonnable appropriée lors de leur approvisionnement auprès de fournisseurs tiers.

ii. Importateurs, distributeurs et autres tiers :

• Les importateurs doivent vérifier que le fabricant a complété l’évaluation de conformité requise, s’assurer que la documentation technique est accessible, fournir les coordonnées appropriées et fournir des instructions et de l’information sur le produit claires et conviviales.
• Les distributeurs doivent faire preuve de diligence raisonnable afin de s’assurer que les fabricants et importateurs ont rempli leurs obligations de conformité. Ils ne doivent pas mettre en marché des produits non conformes et doivent aviser le fabricant et les autorités de surveillance du marché de tout risque de cybersécurité identifié.
• Une personne physique ou morale qui apporte une modification substantielle à un produit comportant des éléments numériques et le met ensuite sur le marché est considérée comme un fabricant et est assujettie à l’ensemble des obligations du fabricant.

iii. Développeurs de logiciels :

• S’assurer que les produits logiciels respectent les exigences de la LCR, offrir des paramètres de sécurité par défaut et mettre en œuvre des mesures de sécurité à jour.
• Identifier et corriger les vulnérabilités, signaler les incidents de cybersécurité, ne traiter que les données nécessaires et offrir des options sécurisées pour la suppression et le transfert de données.
• Tenir à jour la documentation technique telle que la nomenclature logicielle et la déclaration de conformité de l’UE. Conserver les coordonnées de tous les opérateurs économiques et conserver l’information pendant 10 ans.

Obligations de signalement spécifiques pour les fabricants :

• Informer le CSIRT dans les 24 heures suivant l’identification de vulnérabilités dans leurs produits.
• Informer le CSIRT dans les 24 heures de tout incident affectant la sécurité du produit.
• Informer rapidement les utilisateurs des incidents et fournir les mesures d’atténuation appropriées.
• Signaler les vulnérabilités dans les composants intégrés aux responsables de ces composants respectifs.

Supervision, amendes et application :

La non-conformité à la LCR peut entraîner des amendes allant jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial annuel de l’entité pour l’exercice financier précédent, selon le plus élevé des deux.

Comment la LCR soutient-elle l’évolution du paysage numérique de l’Union européenne :

La LCR joue un rôle clé dans la construction de l’avenir technologique de l’Union européenne en :

• Créant une base harmonisée en matière de cybersécurité
• Rendant obligatoire le principe « sécuritaire par conception »
• Augmentant la confiance des consommateurs et la compétitivité sur le marché
• En s’alignant sur la Stratégie de cybersécurité de l’Union européenne

L’UE compte plusieurs lois et règlements comme le RGPD, DORA et NIS2 ; toutefois, la LCR se distingue par son champ d’application, car elle vise spécifiquement la sécurité des produits et non des services ou des activités de traitement des données.

Points saillants : Les produits porteront le marquage CE comme preuve de conformité à la LCR, tandis que les autorités nationales de surveillance du marché superviseront et feront respecter la conformité. La Loi sur la cyberrésilience (la « LCR ») est entrée en vigueur le 10 décembre 2024, les obligations de signalement s’appliquant à compter du 11 septembre 2026 et l’applicabilité complète à partir du 11 décembre 2027. Les fabricants de produits couverts devraient commencer à se préparer à la conformité sans délai afin de minimiser les perturbations aux processus de développement et de limiter l’exposition à la non-conformité.