Sécurité de l’IoT : le Cyber Resilience Act érigé sur des fondations en construction

Cyber Resilience Act Commission européenne

La Commission européenne vient de publier sa proposition de loi sur la cyberrésilience… qui s’appuie sur plusieurs textes en cours d’élaboration.

Qu’est-ce qui relève précisément du domaine des « éléments sécurisés » ? des « microprocesseurs à usage général » ? des « logiciels qui recherchent, suppriment ou mettent en quarantaine des logiciels malveillants » ? Ne cherchez pas de définition dans la proposition de loi sur la cyberrésilience que la Commission européenne a présentée la semaine dernière.

Tous ces éléments figurent dans l’annexe III. Celle-ci répertorie des éléments – plusieurs dizaines – considérés comme « critiques ». Les produits dont ils composent le cœur fonctionnel seront soumis à des exigences particulières dans l’optique d’une mise sur le marché.
Les éventuelles précisions terminologiques se feront a posteriori, par actes délégués. Si possible dans un délai d’un an après l’entrée en vigueur du texte, avance la Commission européenne.

Des incertitudes, il en pèse aussi concernant les multiples renvois vers des textes en cours d’élaboration. L’AI Act en fait partie*. Tout comme les schémas européens de cybersécurité, dont aucun n’est finalisé pour le moment.

Une certaine idée des systèmes critiques

La loi sur la cyberrésilience s’inscrit dans le « nouveau cadre législatif » européen. À ce titre, elle offre aux parties concernées de la flexibilité dans le choix des moyens utilisés pour se conformer aux exigences essentielles. Les certificats de sécurité en font partie, aux côtés des normes harmonisées et des spécifications techniques communes.

Le choix vaut aussi pour les procédures d’évaluation de conformité… dans une certaine mesure. En particulier si les produits qu’on souhaite mettre sur le marché présentent un haut niveau de risque. De manière générale, seraient dans ce cas ceux qui présentent au moins un des attributs suivants :

– Conçu pour fonctionner avec un niveau élevé de privilèges ou pour gérer des privilèges
– Accès direct ou privilégié à des ressources de réseau ou de calcul
– Conçu pour contrôler l’accès à des données ou de la technologie opérationnelle
– Remplit une fonction critique pour la confiance ; en particulier des fonctionnalités de sécurité de type protection du réseau et des terminaux

La qualification de « critique » peut aussi s’appliquer aux usages en environnement industriel ou par des entités « essentielles » au sens de la directive NIS2. Il peut aussi découler de risques précédemment observés dans une catégorie de produits ou de l’observation de l’ampleur potentielle d’une attaque.

Au moins 5 ans de correctifs

La Commission européenne envisage deux classes d’éléments « critiques ». Celle qui présente les risques les plus élevés inclut notamment :

– Systèmes d’exploitation (serveur, mobiles et de bureau)
– Hyperviseurs et plates-formes de conteneurs
– Infrastructures à clé publique
Smart cards
– HSM
– Compteurs connectés
– Contrôleurs robotiques
– IoT industriel

Pour les produits relevant de cette classe, les exigences sont plus fortes en matière d’évaluation de conformité. Il faut, entre autres, obligatoirement faire intervenir un tiers.

Quel que soit le niveau de risque, un délai à retenir : 5 ans. C’est la période pendant laquelle le fabricant d’un produit devra, à compter de la mise sur le marché, gérer les vulnérabilités (ou moins si le cycle de vie du produit est plus court). On passe à 10 ans pour ce qui est de maintenir la documentation technique à disposition des autorités.

Des amendes jusqu’à 2,5 % du chiffre d’affaires mondial

Les obligations des fabricants s’appliqueront aux importateurs et aux distributeurs sous certaines conditions. Plus précisément lorsqu’ils commercialisent des produits sous leur marque ou qu’ils effectuent une modification « substantielle ». Un cas applicable autant aux personnes physiques qu’aux personnes morales.

Qu’en est-il des pénalités ? Les États membres fixeront le montant des amendes administratives, avec trois plafonds de référence.
Pour non-conformité avec des exigences de sécurité (annexe I et articles 10 et 11), jusqu’à 15 M€ ou 2,5 % du CA mondial sur le dernier exercice fiscal.
Pour non-conformité avec d’autres exigences, jusqu’à 10 M€ ou 2 %.
En cas de fourniture d’informations incorrectes, incomplètes ou trompeuses aux autorités compétentes, jusqu’à 5 M€ ou 1 %.

L’entrée en application de la loi interviendrait deux ans après son entrée en vigueur.

* Pour les produits mettant en œuvre des IA considérées comme « à risque », la procédure d’évaluation sera celle inscrite dans l’AI Act.

Photo d’illustration © garrykillian – Adobe Stock