Gérer les risques
Aujourd'hui et demain

Cyberprévention

Cybersécurité : l’UE se décide enfin à encadrer la fabrication des IoT

Des amendes jusqu’à 2,5% du chiffre d’affaires ou 15 millions d’euros, c’est ce que risquent les fabricants d’objets connectés non conformes au futur Règlement européen (Cyber Resilience Act).

Réfrigérateurs, ampoules intelligentes, thermostats, enceintes, caméras, ordinateurs, voitures, téléviseurs, assistants vocaux… Au nombre de 75 milliards d’ici 2025, les objets connectés ont pris une part considérable dans notre quotidien. Or, du fait de leur vulnérabilité, ils représentent une porte d’entrée bien connue pour les cyberattaques. Mi-septembre 2022, la Commission européenne a mis sur la table un nouveau projet législatif visant à forcer les fabricants à améliorer la sécurité de leurs produits. Dans le cadre du futur Règlement européen (Cyber Resilience Act), les IoT vendus sur le territoire européen devront décrocher le marquage CE. Une assurance que ces derniers sont conformes aux exigences de sécurité. En cas de non-respect, l’UE prévoit des sanctions sévères…

commission-europeenne

La Commission européenne veut imposer des règles plus strictes aux fabricants d’objets connectés.
© Guillaume Perigois / Unsplash

Un manque de réglementation

Il faut dire que depuis leur démocratisation, les objets domotiques représentent l’une des premières failles de cybersécurité. En cause, les règles encadrant leur fabrication, leur maintenance et l’utilisation des données qu’ils accumulent restent très limitées. De fait, jouant sur le manque de réglementation en vigueur, les concepteurs et fabricants de ces appareils se sont contentés du strict minimum en matière de chiffrement. Mot de passe basique et prédéfini, cryptage quasi-inexistant, connexion à la WiFi… du fait de toutes ces lacunes, les IoT représentent de fait une porte d’entrée pour les intrusions. Les cyber-pirates en profitent pour s’introduire et prendre le contrôle du système informatique global. 

Vers des règles plus strictes

En septembre 2022, la Commission européenne a donc décidé de muscler sa législation en imposant des règles plus strictes aux fabricants d’objets connectés. Déjà annoncé en 2021 par la présidente de la Commission Ursula von der Leyen, le projet de législation « Cyber Resilience Act » a pour but d’améliorer la protection contre les cyberattaques. 

il-y-aura-75-milliards-d-iot-en-2025

Les objets connectés ont envahi notre quotidien. D’ici 2025, ils pourraient figurer au nombre de 75 milliards dans le monde.
© Andres Urena / Unsplash

Un marquage CE

Pour sécuriser les objets connectés, les fabricants devront systématiser des modes de sécurisation : assurer la gestion des identités des utilisateurs, organiser la protection des données, réduire la surface d’attaque, disposer d’une procédure de mise à jour des règles de sécurité, encadrer le contrôle des accès… À la clé, ils pourront décrocher le marquage CE qui autorisera leur mise en vente sur le marché européen. 

Jusqu’à 15 millions d’euros d’amende

En cas de non-respect des garanties fixées par la Commission, le texte prévoit des amendes pouvant aller jusqu’à 15 millions d’euros et représentant 2,5 % de leur chiffre d’affaires mondial. De même, les appareils non-conformes pourraient faire l’objet d’un rappel voire de leur retrait de la vente pour cause de défaut de cybersécurité. 

Deux ans pour se conformer

Une fois le texte adopté, les fabricants et les États membres auront alors deux ans pour se conformer aux nouvelles règles. Chaque État membre devra nommer une autorité en charge de la surveillance du marché afin de veiller à la bonne application des règles. L’Agence européenne de cybersécurité, l’ENISA, aura également un rôle à jouer pour s’assurer que la réglementation soit respectée. 

Ségolène Kahn

Commentez

Participez à la discussion