Comment l'UE veut protéger les citoyens et les entreprises contre les cyberattaques

La Commission européenne veut s’assurer que les défis futurs en matière de sécurité des produits numériques dans l’environnement privé, mais aussi dans les entreprises de l’UE, soient maîtrisés au mieux. Cela devrait empêcher les cybercriminels et autres acteurs de pouvoir mener des attaques réussies, via les produits des citoyens et des entreprises, afin de leur nuire.

Le Cyber Resilience Act (CRA), loi en cours d’élaboration avec le secteur industriel, vise à garantir une plus grande sécurité des produits numériques. Le CRA a pour but de réglementer, par voie législative, la sécurité de tous les produits numériques utilisés dans l’UE. Cela s’applique non seulement à la production et à la livraison, mais aussi à l’ensemble du cycle de vie d’un produit.

Cela signifie que les fabricants doivent veiller à ce qu’il y ait des mises à jour de sécurité pour les produits, que les utilisateurs peuvent installer pour combler les failles de sécurité qui ont été découvertes.

Cependant, le CRA couvre également les appareils utilisés dans les smart homes. Outre les caméras WLAN, les babyphones, les thermostats intelligents, les serrures de porte et les jouets, les appareils connectés doivent également être protégés dans tous les domaines, tant privés que professionnels. La responsabilité en la matière incombe aux fabricants : ils doivent aider les utilisateurs finaux à se servcir des produits en toute sécurité tout au long de leur cycle de vie.

L’IoT est en pleine croissance et prospère, mais des dangers demeurent

Le besoin du CRA est démontré par la seule croissance de l‘IoT. Les statistiques suggèrent que plus de 75 milliards de dispositifs connectés seront utilisés d’ici 2025. Ces chiffres montrent clairement que l’IoT et la numérisation ont atteint un haut degré de pénétration dans l’ensemble de la société. Et que cela s’accompagne d’un potentiel de risque élevé.

Plus d’un tiers des entreprises utilisent désormais des appareils contrôlés à distance via l’IoT. Ces appareils effectuent plusieurs tâches et sont utilisés comme technologies pour la gestion de l’énergie, la maintenance des machines, le suivi du comportement des clients et pour les processus de production.

En outre, un tiers de tous les ménages utilisent des appareils en réseau pour contrôler l’éclairage, les systèmes d’alarme, les systèmes de verrouillage numérique et la vidéosurveillance. De nombreux systèmes de chauffage sont aussi connectés à Internet. Le nombre de cyberattaques augmente plus vite que prévu.

Le CRA a donc pour but de créer le cadre réglementaire qui permettra, à l’avenir, de contrôler et d’utiliser davantage d’appareils en déplacement sans devoir sacrifier la sécurité nécessaire.

Durcissement des exigences de sécurité

Les défis de sécurité directement abordés par le CRA augmentent également les exigences imposées aux produits. Les fabricants doivent s’assurer que leurs produits sont aussi sûrs que possible dès la phase de conception. L’approche « security-by-design » s’applique déjà à de nombreux produits dans l’environnement professionnel. À l’avenir, tous les produits devraient déjà être optimisés pour la sécurité lors du développement, de la production et, bien sûr, de l’exploitation ultérieure. Le tout soutenu par des mises à jour régulières.

C’est l’un des points centraux du CRA : les entreprises doivent créer la possibilité, pour les utilisateurs finaux, de mettre à jour leurs produits tout au long du cycle de vie. Pour ce faire, de nombreux producteurs doivent d’abord créer des structures internes sur la manière dont les mises à jour peuvent être développées et également fournies tout au long du cycle de vie des produits à l’avenir.

La gestion des vulnérabilités n’est pas incluse dans tous les produits mais elle sera nécessaire à l’avenir. Les entreprises devront évaluer l’effort nécessaire à cet effet et mettre en place l’infrastructure correspondante. La gestion des vulnérabilités a également pour tâche de favoriser la découverte des failles de sécurité afin que les vulnérabilités puissent être identifiées plus rapidement.

Danger croissant dans le cyberespace

En raison de l’augmentation constante de l’interconnexion avec le web, le potentiel de danger va crescendo. Le stalkingware en est un exemple. Il s’agit d‘un logiciel malveillant qui s’installe sur l’appareil de la victime et lui donne ensuite accès à toutes les fonctions et données.

Pour se protéger, seuls des appareils finaux sécurisés au maximum et dotés de logiciels actualisés et régulièrement mis à jour peuvent aider. Les utilisateurs doivent s’y préparer et profiter des nouvelles optimisations de sécurité.

Cela inclut le fonctionnement sécurisé des appareils et la mise à jour du micrologiciel des appareils utilisés à titre privé. Dans les entreprises, les administrateurs se chargent de cette tâche; chacun doit le faire soi-même à titre privé.

L’avenir et ses défis

Bien sûr, le CRA ne peut pas garantir une sécurité complète pour tous les produits. Il faudra des années aux entreprises pour mettre en place une gestion des vulnérabilités pour tous leurs produits numériques.

À l’avenir, les fonctions de sécurité telles que le « Secure Access Service Edge » (SASE) joueront un rôle croissant dans ce domaine. Il s’agit d’un concept de sécurité moderne pour les infrastructures de réseau. Un fournisseur de services se charge de tous les services et fonctions de sécurité d’un réseau cloud. Le SASE n’est pas tant une nouvelle technologie qu’une approche holistique.

Comme défini par Gartner en 2019, le SASE connecte et sécurise toutes les entités de l’entreprise. Grâce à cette approche, les fabricants peuvent sécuriser le réseau virtuel entre la gestion des vulnérabilités et les appareils connectés. Et ce en veillant à ce que la protection de l’environnement se fasse là où les attaques se produisent, à savoir dans le cyberespace.