Quelles seront les exigences de la loi européenne sur la cyber-résilience ?

A mesure que les exigences seront élaborées et publiées, rien ne sera laissé au hasard. Des approches non prescriptives, similaires à ce qui existe dans d’autres réglementations, comme "le cryptage des données sensibles", "la capacité des dispositifs à être mis à jour", " la garantie de l’intégrité des logiciels et des micrologiciels" …, seront certainement adoptées. Toutefois, pour justifier une sanction, il faut que les approches soient quantifiées. Il y aura probablement une exigence de mises à jour régulières, car c’est l’un des points sensibles soulevés par la Commission européenne. L’envoi de mises à jour automatiques sur un grand nombre d’appareils sera difficile sans l’appui d’une solution pour maintenir la viabilité et automatiser les tâches. En outre, la Commission européenne a déclaré que les consommateurs devront disposer de plus d’informations pour prendre des décisions d’achat éclairées et configurer leurs appareils en toute sécurité.

Comment la loi européenne sur la cyber-résilience affectera-t-elle les fabricants de dispositifs IoT ?

Ces derniers pourraient se voir infliger des amendes et des pénalités massives en cas de non-respect du projet de loi. Il s’agit, en effet, de l’une des premières législations à prévoir une sanction financière en cas de non-conformité. L’UE est claire : avec cette proposition de loi, la charge financière des dispositifs reposera sur les fabricants et les développeurs.

En outre, les produits qui ne répondent pas aux exigences "essentielles" de la cybersécurité ne pourront pas être commercialisés. Les fabricants doivent donc intégrer la sécurité dès la conception de leurs produits, afin que les appareils, commercialisés dans les prochaines années, répondent aux normes requises de sécurité. Les autorités de surveillance du marché de chaque État membre de l’UE, seront chargées d’infliger des amendes aux entreprises non conformes, dans les limites fixées par la loi, voire d’interdire la mise sur le marché de leurs dispositifs en cas de non-conformité. Disposer d’une norme unique en matière de cybersécurité permettra également de simplifier et de clarifier les procédures de mise en conformité à la disposition des fabricants.

Comment la loi européenne sur la cyber-résilience affectera-t-elle les consommateurs ?

L’obligation de fournir des informations avant tout achat donnera aux consommateurs la possibilité de mieux acheter et les rassurera quant à la sécurité des appareils connectés mis sur le marché. Les règles exigeront également de d’orienter les consommateurs lors de leurs achats vers produits sûrs et de les guider dans leur configuration afin qu’ils soient le plus sécurisés possible. Dans la lignée des étiquettes nutritionnelles des produits alimentaires qui aident à mieux comprendre leur composition, l’accès à des informations sur la sécurité des appareils permettra de prendre des décisions d’achat plus éclairées.
En outre, la Commission européenne prévoit une augmentation de la demande de "produits comportant des éléments numériques" si les consommateurs font davantage confiance à leur sécurité.

L’IoT doit être sécurisé dès la conception

Les autorités de réglementation ne devraient pas avoir à imposer de lourdes amendes pour assurer la protection des appareils, toutefois la sécurité est trop souvent envisagée a posteriori de leur développement. Dans un monde parfait, les entreprises devraient prendre conscience de l’importance de la protection de leurs actifs, de leurs clients, de leur réputation et de leurs employés et devraient mettre en œuvre une sécurité optimale. Jusqu’à ce que nous en arrivions là, nous devrons nous habituer aux rappels à l’ordre et aux sanctions des régulateurs. Il est indéniale que la possibilité d’interdire ou de restreindre la vente de produits non conformes permettra d’améliorer la sécurité.

Quand la loi sur la cyber-résilience sera-t-elle appliquée ?

À ce stade, la loi sur la cyber-résilience de l’UE doit être examinée et adoptée par le Parlement européen et le Conseil. Une fois la loi définitivement adoptée, les États membres auront jusqu’à deux ans pour se mettre en conformité. Les fabricants doivent donc se tenir prêts.
Toutefois, le renforcement de la réglementation sur les appareils connectés va continuer à évoluer car cette loi sur la cyber-résilience n’est qu’une première étape. La réglementation servira probablement de ligne directrice aux autres régulateurs pour l’élaboration de normes similaires. À l’avenir, il y aura toujours plus de réglementation sur l’IoT et sa conception. Il est donc important que les fabricants intègrent la cybersécurité dès la conception, afin d’être prêts pour les prochaines réglementations.

Outre ce renforcement de la réglementation, les industries tendent à s’unir pour résoudre le problème de la sécurité des appareils à l’instar du protocole Matter sur le point d’être lancé pour l’interopérabilité, la sécurité et la fiabilité des appareils domestiques intelligents. Il pourrait servir de feuille de route à l’industrie pour une meilleure sécurité des appareils IoT. Bien que tous les détails de la législation européenne proposée ne soient pas encore connus, il est probable que les fabricants certifiés Matter, seront alignés sur les exigences des législateurs européens. D’autant que cette norme leur donnera la possibilité d’informer davantage les consommateurs sur la sécurité.