LE CYBER RESILIENCE ACT sécurité renforcée des produits à composante numérique

Dans quel contexte le Cyber resilience act a-t-il été élaboré ?

FRÉDÉRIC SARDAIN : Les cyberattaques se multiplient depuis plusieurs années et l’inventivité des assaillants s’améliore constamment. Avec le Cyber resilience act (CRA), la Commission européenne souhaite apporter un niveau de sécurité plus important à un certain nombre de produits qui n’étaient pas encore régulés par d’autres dispositifs législatifs ou réglementaires. Elle vise notamment à créer des obligations de prévention des cyberattaques contre les biens, comme les systèmes d’exploitation ou les logiciels embarqués dans les objets connectés, qui intégraient déjà certaines mesures de sécurité, mais sans obligation légale précise. Ce projet de règlement CRA s’inscrit dans la stratégie pour un marché unique numérique, annoncé par la Commission européenne en 2015. L’une des premières pierres angulaires de cette stratégie a été l’adoption du RGPD, destinée à harmoniser la protection des données à caractère personnel dans l’Union, et qui a notamment créé des obligations de prévention des cyberattaques contre les personnes.

JULIETTE ROUILLOUX-SICRE : Cette inflation récente des textes européens relatifs aux données suit notamment l’évolution croissante des cybermenaces. L’Union européenne veut être fer de lance sur les sujets de données et d’innovation numérique, ce qui implique une réglementation de ces secteurs. Notons à ce propos que les dispositifs proposés ont vocation à avoir des applications extraterritoriales, en réponse à l’attitude d’autres pays, au premier rang desquels les États-Unis. C’est particulièrement le cas avec le CRA.

Qu’en est-il du positionnement de la France face à ces menaces cyber ?

JULIETTE ROUILLOUX-SICRE : L’État français a toujours été à la pointe en matière de cybersécurité. La rédaction de la première directive NIS (network and information security) de 2016 a, par exemple, été fortement influencée par la France. C’était également le cas pour l’adoption de la deuxième directive sur ce même thème. La France a par ailleurs mis en place l’ANSSI (l’agence nationale de la sécurité des systèmes d’information) qui est très réactive et a une vocation pédagogique, de support et d’aide aux entreprises.

FRÉDÉRIC SARDAIN : La France avait en outre adopté la notion d’opérateur d’importance vitale dans le code de la défense dès 2012, bien avant l’adoption de la directive européenne NIS qui, elle, avait créé la notion d’opérateur de service essentiel. La France a toujours souhaité être un phare dans les diverses initiatives réglementaires européennes en la matière.

Quels sont les grands enjeux du CRA ?

JULIETTE ROUILLOUX-SICRE : Le texte a des objectifs ambitieux. D’abord sa vocation est que les fabricants améliorent la sécurité des produits numériques au moment de leur conception, mais également pendant tout le cycle de vie du produit. C’est essentiel parce que les vulnérabilités apparaissent bien souvent après la mise sur le marché, durant la vie du produit, et elles vont croissant. Pour ce faire, le projet énonce en annexe un certain nombre d’exigences essentielles en matière de sécurité qui doivent être respectées pour mettre sur le marché un produit comportant des éléments numériques. Ces dernières concernent dans un premier temps le produit lui-même, imposant notamment que les produits soient conçus de façon à garantir un niveau de sécurité approprié aux risques et qu’ils soient livrés dépourvus de vulnérabilités exploitables connues. Dans un second temps, elles portent sur les processus mis en place par les fabricants quant à la gestion des vulnérabilités affectant leurs produits, prévoyant par exemple la nécessité de mettre à disposition des mises à jour et d’appliquer une politique de divulgation coordonnée des vulnérabilités. Par ailleurs, le CRA prévoit une obligation de notification de l’ENISA, pour les fabricants dont un produit contiendrait une vul- nérabilité activement exploitée ou ferait l’objet d’un incident de sécurité, au plus tard 24 heures après en avoir pris connaissance. L’idée du texte est également d’améliorer la transparence de la sécurité à tous les niveau : pour les entreprises, les experts mais aussi pour les consommateurs. Les utilisateurs doivent avoir un accès suffisamment aisé à l’information pour savoir si le produit qu’ils convoitent comporte un niveau de sécurité adapté par rapport à son usage.

FRÉDÉRIC SARDAIN : Il est également question d’imposer aux fabricants, aux importateurs et aux distributeurs des produits critiques listés en annexe du règlement des procédures d’évaluation de la conformité plus strictes. Les produits visés sont divisés en deux catégories : la classe 1 regroupe ceux qui sont les plus sensibles comme les anti-virus, les VPN, etc. Et la classe 2 comprend globalement les produits à composante digitale dont l’utilisation actuelle ou raisonnablement prévisible inclut une connexion directe ou indirecte, physique ou logicielle, à un réseau ou à un autre appareil. Une liste d’exemption est prévue pour les produits qui relèvent du champ d’application d’autres dispositifs réglementaires avec des niveaux de sécurité déjà élevés. L’objectif de cette réglementation est de couvrir une majorité d’acteurs qui agissent dans le cyberespace, notamment l’intégralité de la supply chain des produits. Au moment où ils conçoivent et fabriquent les objets, les groupes devront mettre en oeuvre des procédures de contrôle, d’audit, d’analyse d’impact. S’y ajoute également une logique d’« accountability », qui ressemble à celle qui a été prévue dans le RGPD. Les fabricants, les distributeurs et importateurs le cas échéant, devront documenter leur conformité et pouvoir en justifier en cas de contrôle du régulateur, en l’espèce l’ENISA.

En cas de non-conformité, le montant de la sanction sera-t-il significatif ?

FRÉDÉRIC SARDAIN : La sanction peut atteindre un montant maximum de 15 M€ ou 2,5 % du chiffre d’affaires annuel mondial total pour des non-conformités aux exigences de sécurité du produit. S’il s’agit d’une infraction sans rapport avec la sécurité du produit, le montant maximum sera de 10 M€, ou 2 % du CA. Enfin pour la fourniture d’informations incorrectes, incomplètes ou trompeuses aux autorités de surveillance du marché, la sanction sera de 5 M€, ou 1 % du CA.

JULIETTE ROUILLOUX-SICRE : Les montants sont élevés et ont un effet dissuasif. Il convient en outre de noter que le fonctionnement par paliers de ces sanctions est très proche de ce qui a déjà été prévu par l’Union européenne lors de l’adoption des autres textes réglementant la donnée. Désormais, l’UE indexe le montant des sanctions sur le chiffre d’affaires des groupes. Pour les entreprises, c’est un empilement de textes et de sanctions conséquent. Je rappelle que, généralement, une violation de données personnelles fait suite à un incident de sécurité. Dès lors, l’entreprise victime peut subir un enchaînement de sanctions entre celles relatives au RGPD et celles du CRA – sans parler bien sûr des conséquences financières liées à la rupture d’approvisionnement et au fonctionnement normal de l’entreprise dont l’impact financier est important. En conséquence, ces sujets de cybersécurité sont pris très au sérieux par les membres des comités de direction des entreprises.

FRÉDÉRIC SARDAIN : Ce règlement risque en outre de créer un concours de qualification. Car si le RGPD s’applique globalement à tous les opérateurs économiques, dans la mesure où tout le monde traite de données à caractère personnel, ce nouveau texte ajoute une couche pour les opérateurs qui fabriquent, distribuent ou importent les produits connectés, donc globalement tous les groupes de l’industrie informatique et des logiciels. Ces derniers devront donc être doublement conformes : au RGPD et au CRA – et seront donc potentiellement exposés à des sanctions deux fois plus élevées.

Quels impacts pour les groupes français et internationaux ?

JULIETTE ROUILLOUX-SICRE : Le groupe Thales, qui est leader dans le domaine de la cybersécurité, applique déjà à ses produits un niveau de sécurité extrêmement important et des exigences fortes. Nous jugeons ce texte très positivement car il va renforcer le niveau de sécurité des produits numériques dans le cadre de l’augmentation significative des cybermenaces dont nous parlions au début de cet entretien. La montée en compétence de l’ensemble des acteurs européens du secteur est très appréciable. Demain, ce sera toute la chaîne d’approvisionnement qui aura un excellent niveau de sécurité. En termes d’image, c’est précieux et susceptible de créer des opportunités pour les acteurs du secteur. J’ajoute que cette réglementation s’applique à tous les produits mis sur le marchés en Europe et donc elle contraindra également les opérateurs étrangers qui ciblent ce territoire.

FRÉDÉRIC SARDAIN : En effet, d’habitude ce sont les sujets de droit (i.e. : les personnes assujetties) qui sont définis dans le champ d’application des directives ou des règlements européens. Mais le CRA vise, lui, les produits (autrement dit, les objets de droit) qui seront commercialisés sur le territoire européen (peu importe où ils ont été manufacturés). C’est donc effectivement une forme d’extraterritorialité de la réglementation. À cet égard, nous conseillons des groupes étrangers qui réfléchissent à commercialiser de tels produits en Europe et préfèrent adopter des mesures de conformité uniques au niveau mondial, qui leur coûtent moins cher que des niveaux de conformité différents en fonction de chaque grande zone de commercialisation (US, Europe, Asie). La démarche de l’Union européenne est ainsi d’inciter l’ensemble des acteurs à avoir un niveau de standard élevé dans le monde, mais aussi d’influer sur les législateurs étrangers. Rappelons que c’est ce qu’il s’est passé en 2021 avec la loi chinoise, ou en 2018 avec la loi californienne, qui se sont inspirées toutes deux du RGPD.