Les législateurs européens ont dévoilé leur projet de règlement sur la sécurité de l’IoT, baptisé Cyber Resilience Act

Présenté au Parlement européen en ce mois de septembre 2022, le Cyber Resilience Act veut imposer des règles de cybersécurité communes à tous les appareils connectés, ainsi que des procédures d’évaluation de conformité aux produits les plus critiques.

Son champ d’application est particulièrement large, puisqu’il couvre « tout produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels destinés à être mis sur le marché séparément », à l’exclusion des produits disposant déjà d’une législation sectorielle, comme les dispositifs médicaux.

Ce Cyber Resilience Act veut ainsi contraindre les fabricants de produits IoT de respecter des exigences « fondamentales » en matière de conception, de développement et de production avant de lancer ces produits sur le marché, puis d’en corriger les failles tout au long de leur cycle de vie, via des mises à jour automatiques et gratuites.

Ces exigences « fondamentales » sont les suivantes :

  • un niveau « approprié » de cybersécurité ;
  • l’interdiction de lancer sur le marché des produits présentant une faille avérée ;
  • une configuration par défaut en matière de sécurité ;
  • la protection contre les accès non autorisés ;
  • la limitation des surfaces d’attaque ;
  • la réduction de l’impact des incidents ;
  • la confidentialité des données traitées.

Au-delà de ces exigences, communes à tous les produits relevant de l’IoT, le règlement dresse aussi une liste de produits « critiques », qui devront obtenir un certificat de conformité européen pour autoriser leur distribution (y compris les produits importés). Ils sont divisés en deux classes en fonction de leur criticité.

La classe I comprend les systèmes de gestion de l’identité, les navigateurs, les gestionnaires de mots de passe, les antivirus, les pare-feu, les VPN, les systèmes de gestion de réseau, les cartes réseau, les routeurs et les puces utilisés pour les unités indispensables. Elle comporte aussi tous les systèmes d’exploitation, les microprocesseurs et l’IoT industriel non couverts par la classe II.

Cette classe II, la plus critique, regroupe les systèmes d’exploitation virtuels, les émetteurs de certificats numériques, les microprocesseurs, les lecteurs de cartes, les capteurs robotiques, les compteurs intelligents, ainsi que les routeurs et les pare-feu à usage industriel.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.