Article par Laura De Almeida
Pourquoi l’UE développe-t-elle cette loi ?
Toutes les 11 secondes dans le monde, une organisation est victime d’une attaque par des logiciels rançon (ou rançongiciels) et on estimait, en 2021, le coût annuel de la cybercriminalité à 5 500 milliards d’euros à l’échelle de la planète (Cybersecurity Ventures, «Cybersecurity – Our Digital Anchor, a European perspective»). À titre d’exemple, le coût global des incidents de sécurité affectant les entreprises en Allemagne s’élève à 220 milliards d’euros en 2020. Ainsi, dans le cas d’une cyberattaque, 57% des PME feraient faillite.
Face à cela, et dans un contexte de multiplication des produits connectés, il est désormais indispensable pour l’Union européenne d’élever son niveau de cybersécurité. Ces attaques, en plus d’avoir un coût financier élevé, peuvent également perturber des activités sociales, compromettre la sécurité des usagers mais surtout représenter un danger mortel. Comme par exemple, lorsqu’elles sont dirigées contre les systèmes informatiques des hôpitaux.
Le projet de cette loi a été annoncé en septembre 2021 par la présidente de la Commission européenne Ursula von der Leyen lors du discours sur l’état de l’Union européenne. Elle s’inscrit dans la continuité de la stratégie de cybersécurité de l’UE, ainsi que la stratégie de l’UE pour l’union de la sécurité, datant toutes deux de 2020.
Son objectif sera de garantir une meilleure sécurité des produits numériques, comme les logiciels, pour les consommateurs de l’UE. La part de responsabilité des fabricants et des vendeurs est désormais plus importante car ils devront obligatoirement fournir une assistance et des mises à jour pour résoudre les éventuelles vulnérabilités du système.
Margrethe Vestager, vice-présidente exécutive pour une Europe adaptée à l’ère du numérique; a déclaré: « Nous sommes en droit d’attendre que les produits que nous achetons sur le marché unique soient sûrs. Tout comme nous pouvons faire confiance à un jouet ou à un réfrigérateur muni d’un marquage CE, nous pourrons, grâce à l’acte législatif sur la cyber-résilience, avoir l’assurance que les objets et les logiciels connectés que nous achetons offrent des garanties solides en matière de cybersécurité. Cet acte fera peser la responsabilité sur ceux qui doivent l’assumer, c’est-à-dire ceux qui mettent les produits sur le marché. »
Quels sont les problèmes actuels ?
Ces produits souffrent de deux problèmes majeurs qui entraînent des coûts supplémentaires pour les utilisateurs et la société :
Actuellement, il existe une législation au niveau du marché intérieur qui concerne certains produits composés d’éléments numériques. Toutefois, la grande majorité des produits matériels et des logiciels ne sont concernés par aucune législation européenne sur leur sécurité malgré les attaques qui se multiplient et les coûts qu’elles entraînent.
Margaritis Schinas, vice-président chargé de la promotion de notre mode de vie européen, a ajouté: « L’acte législatif sur la cyber-résilience est notre réponse aux menaces modernes pour la sécurité qui sont aujourd’hui omniprésentes dans notre société numérique. L’UE a fait œuvre de précurseur dans la création d’un écosystème de cybersécurité en adoptant des règles relatives aux infrastructures critiques, à la préparation et à la réaction en matière de cybersécurité, ainsi qu’à la certification des produits de cybersécurité. Aujourd’hui, nous parachevons cet écosystème au moyen d’un acte législatif qui garantit la sécurité partout, dans nos foyers, dans nos entreprises et dans tous les produits interconnectés. La cybersécurité est une question qui concerne la société tout entière, et plus seulement l’activité économique.»
Les objectifs de la loi
Deux objectifs principaux ont été définis pour assurer le bon fonctionnement du marché intérieur dans ce domaine :
- créer les conditions nécessaires au développement de produits sûrs comportant des éléments numériques en veillant à ce que les produits matériels et les logiciels soient mis sur le marché avec moins de vulnérabilité tout en veillant à ce que les fabricants prennent la sécurité au sérieux tout au long du cycle de vie d’un produit ;
- créer des conditions permettant aux utilisateurs de tenir compte de la cybersécurité lors de la sélection et de l’utilisation de produits comportant des éléments numériques.
Quatre objectifs spécifiques :
- veiller à ce que les fabricants améliorent la sécurité des produits comportant des éléments numériques depuis la phase de conception et de développement et tout au long du cycle de vie ;
- garantir un cadre cohérent en matière de cybersécurité, en facilitant le respect des règles par les producteurs de matériels et de logiciels ;
- améliorer la transparence des propriétés de sécurité des produits comportant des éléments numériques ;
- permettre aux entreprises et aux consommateurs d’utiliser des produits comportant des éléments numériques en toute sécurité.
Les points principaux du nouveau cadre législatif
Les mesures proposées aujourd’hui sont fondées sur le nouveau cadre législatif applicable à tous les produits du numérique au sein de l’UE et définissent :
- des règles relatives à la mise sur le marché de produits comportant des éléments numériques afin de garantir leur conformité aux exigences de cybersécurité;
- des exigences essentielles relatives à la conception, au développement et à la production de produits comportant des éléments numériques, et des obligations incombant aux opérateurs économiques en ce qui concerne ces produits;
- des exigences essentielles relatives aux processus de gestion de la vulnérabilité mis en place par les fabricants pour garantir la conformité de tels produits aux exigences de cybersécurité tout au long de leur cycle de vie, et des obligations incombant aux opérateurs économiques en ce qui concerne ces processus. Les fabricants devront aussi signaler les vulnérabilités activement exploitées et les incidents;
- des règles relatives à la surveillance du marché et au contrôle de l’application des normes.
En règle générale, quiconque met sur le marché un produit “final”, ou un composant, est tenu de se conformer aux exigences essentielles, de se soumettre à une évaluation de la conformité et d’apposer le marquage “CE”.
*ENISA : l’agence de l’union européenne pour la cybersécurité
Qu’est-ce que cette loi va changer ?
Les nouvelles règles vont désormais responsabiliser les fabricants qui devront garantir aux usagers la conformité de leur produit aux exigences de sécurité sur le marché de l’UE. C’est une avancée à la fois pour les consommateurs et les entreprises puisque cette obligation de transparence sur les caractéristiques de leurs produits favorisera la confiance des clients dans ces dernières. Les droits fondamentaux des utilisateurs des produits, tels que la protection de la vie privée et des données, seront également mieux protégés.
Alors que ces sujets suscitent l’intérêt des législateurs dans le monde entier, ce texte de l’Union européenne pourrait bien devenir une référence à l’échelle internationale, puisque des normes législatives sur la cyber-résilience seront un atout non seulement pour le secteur européen mais aussi pour la cybersécurité sur les marchés mondiaux.
Quels sont les produits concernés ?
Cette loi touchera chaque produit connecté directement ou indirectement à un réseau ou un autre appareil :
- produits matériels et composants commercialisés séparément, tels que les ordinateurs portables, les appareils intelligents, les téléphones mobiles, les équipements de réseau ou les processeurs;
- produits logiciels et composants commercialisés séparément, tels que systèmes d’exploitation, traitement de texte, jeux ou applications mobiles.
Cependant, certains domaines feront exception, comme les dispositifs médicaux ou l’aviation, qui ont déjà une législation existante en matière de cybersécurité.
Quels sont les contrôles et sanctions prévues en cas de non-respect de la loi ?
Les autorités de surveillance du marché (AMF) disposent de différents outils de contrôles : contrôles documentaires, demandes d’information, inspections, contrôles de laboratoire, etc.
Dans des circonstances exceptionnelles, l’OCM (organisation commune du marché) peut exiger de l’ENISA (l’agence de l’union européenne pour la cybersécurité) qu’elle procède à une évaluation de la conformité des produits avec la loi. Sur la base des résultats obtenus, elle pourrait être tenue d’établir une mesure corrective ou restrictive au sein de l’Union, au moyen d’un acte d’exécution et après avoir consulté les États membres.
Prochaines étapes
Il appartient maintenant au Parlement européen et au Conseil d’examiner le projet d’acte législatif sur la cyber-résilience. Une fois celui-ci adopté, les opérateurs économiques et les États membres disposeront de deux ans pour s’adapter aux nouvelles exigences. L’obligation faite aux fabricants de communiquer des informations concernant les vulnérabilités activement exploitées et les incidents fait exception à cette règle, puisqu’elle s’appliquerait déjà un an après la date d’entrée en vigueur, étant donné qu’elle exige moins d’adaptations organisationnelles que les autres nouvelles obligations. La Commission procédera régulièrement au réexamen de la législation sur la cyber-résilience et rendra compte de son fonctionnement.