Derrière le mythe du Cyber ​​Resilience Act (ou CRA pour les initiés de la cybersécurité)

Le Cyber Resilience Act prévoit d’instaurer un cadre réglementaire commun aux États membres afin de lutter contre la multiplication des cyberattaques dont font l’objet les appareils connectés qui ont provoquées plus de 5 700 Mds d’€ de préjudices en 2021. La réglementation veut également responsabiliser les acteurs économiques sur la cybersécurité des produits qu’ils proposent sur le marché européen.

La nouvelle réglementation européenne aurait pour objectif de couvrir tous les produits intégrant des éléments numériques, qu’ils soient des dispositifs matériels (comme les smartphones, les jouets, les ordinateurs, etc.) ou des logiciels (tels que les antivirus, les systèmes d’exploitation, etc.). Cependant, elle n’inclurait pas les produits connectés déjà régis par des lois spécifiques, comme ceux utilisés dans les domaines de l’aéronautique ou de la médecine.

De plus, ce cadre européen serait renforcé pour les produits jouant un rôle central dans la sécurité des réseaux ou présentant des vulnérabilités touchant de nombreux utilisateurs. Cela concerne les systèmes d’exploitation, les hyperviseurs, les antivirus, les gestionnaires de mots de passe et les objets connectés destinés au secteur industriel. Selon la proposition de règlement, ces produits considérés comme « critiques » seraient soumis à des obligations supplémentaires.

Le projet Cyber Resilience Act, actuellement en débat au sein des instances de l’Union européenne, ne possède pas encore de version définitive. Des discussions sont en cours, notamment concernant les logiciels open source. Une adaptation est envisagée pour éviter d’imposer les obligations du CRA aux communautés du logiciel libre.

À l’heure actuelle, aucun calendrier précis n’a été établi quant à la mise en œuvre du Cyber Resilience Act. Une fois adopté par le Parlement européen, son entrée en vigueur devrait survenir environ 24 mois après sa publication dans le Journal officiel de l’Union européenne.

Il va de soi que le législateur a l’intention de superviser la mise en œuvre de ces nouvelles obligations. Dans cette optique, il est prévu que les États membres désignent des organismes de surveillance du marché chargés de faire respecter les obligations énoncées dans le cadre du Cyber Resilience Act.

Ces organismes auront la possibilité de prendre diverses mesures. Ils pourront notamment demander aux opérateurs de rectifier les non-conformités, de restreindre la disponibilité d’un produit ou d’éliminer un risque. De plus, ils auront également le pouvoir d’exiger le rappel ou le retrait d’un produit du marché.

Ces responsabilités seront assorties de mesures disciplinaires, accompagnées d’un pouvoir de sanction incluant des amendes pouvant atteindre 2,5 % du chiffre d’affaires ou encore 15 millions d’euros.

Quel que soit le niveau de criticité de votre produit IoT (par défaut, classe 1 ou classe 2), LACROIX vous accompagne pour garantir qu’il réponde bien aux enjeux de cybersécurité émis par le CRA, notamment :

• Assurer le security-by-design de l’ensemble de la chaine de valeur de votre projet
• Apporter l’expertise de la conformité aux exigences du Cyber Resilience Act pour anticiper la mise sur le marché de votre solution
• Accompagner le passage à l’échelle de votre solution grâce à nos différentes plateformes IoT servant d’accélérateurs à vos projets

Vous l’avez compris, le Cyber Resilience Act, ce n’est pas une mince affaire… Cette nouvelle réglementation cybersécurité impose donc certains changements pour être conforme et répondre aux standards exigés. LACROIX est là pour vous accompagner dans cette transition législative et technologique permettant de vous conformer à cette nouvelle réglementation.