pandore
Avec le Cyber Resilience Act, la Commission européenne souhaite protéger les 27 pays membres de cyberattaques de plus en plus nombreuses. Elle obligerait ainsi les constructeurs à sécuriser leurs appareils sous peine d’un retrait du marché.
11 petites secondes, telle est la fréquence à laquelle un ransomware s’installe sur un nouvel appareil, soit à peine plus de temps que ne met Usain Bolt à avaler un 100 m. Pour lutter contre ce nouveau danger, qui coûterait entre 180 et 290 milliards d’euros par an à l’UE, la Commission européenne a écrit la loi Cyber Resilience Act. Telle qu’elle est pensée, elle obligera les constructeurs d’appareils numériques et connectés à Internet à sécuriser chaque matériel mis sur le marché. Les constructeurs seront responsables de la sécurité de leurs produits durant toute leur durée de vie prévue, soit un minimum de cinq ans. Que ce soit l’appareil lui-même ou le logiciel, chaque modèle commercialisé devra être sécurisé sous peine d’être retiré du marché, voire de payer une amende supplémentaire.
“Ordinateurs, téléphones, appareils ménagers, dispositifs d’assistance virtuelle, voitures, jouets… Chacun de ces centaines de millions de produits connectés est un point d’entrée potentiel pour une cyberattaque”, a déclaré Thierry Breton, commissaire européen au Marché Intérieur. Selon la Commission européenne, les cyberattaques ont augmenté durant la pandémie, tandis que la crise énergétique née du conflit russo-ukrainien inquiète les autorités quant au ciblage des infrastructures par les pirates. De plus, même si les entreprises et institutions sont souvent visées, cela permettra de mieux protéger n’importe quel citoyen européen puisque la loi “permettra également aux clients d’être correctement informés de la cybersécurité des produits qu’ils achètent et utilisent”, peut-on lire dans le texte de la Commisssion européenne.
Une vis un peu trop serrée
Ce durcissement des règles semble bénéfique au premier abord, mais s’avère discutable sur certains points selon les experts. La Computer and Communications Industry Association (CCIA), lobby des entreprises informatiques, s’interroge sur l’utilité de toutes ces mesures : “Ces règles de cybersécurité devraient s’efforcer d’éliminer les mauvais produits du marché européen, mais la proposition actuelle […] conduirait à ce que des produits innovants s’empilent dans des salles d’attente avant de pouvoir être utilisés par les Européens”, a déclaré à AP News Alexandre Roure, directeur de la politique publique de la CCIA Europe. S’il salue l’initiative de la Commission visant à renforcer la cybersécurité, il souhaite des mesures plus réalistes pour les entreprises : “Les nouvelles règles devraient reconnaître les normes acceptées au niveau mondial et faciliter la coopération avec des partenaires commerciaux de confiance afin d’éviter les exigences redondantes.”
Le projet maintenant être discuté et voté à la fois par le Parlement et le Conseil européens. Une fois le texte adopté, les autorités économiques et les États membres auront deux ans pour le mettre en place. Seule exception, les constructeurs n’auront qu’un an pour notifier “les vulnérabilités et les incidents activement exploités […] car cela nécessite moins d’adaptations organisationnelles que les autres nouvelles obligations”.
SOURCE : LES NUMERIQUES
