Le Cyber Resilience Act : Une nouvelle ère pour la sécurité des produits connectés en Europe

Le Cyber Resilience Act, publié le 20 novembre 2024, marque une évolution majeure dans la réglementation européenne en matière de cybersécurité, en imposant des normes strictes aux fabricants, importateurs et distributeurs de produits connectés. Ce règlement s'inscrit dans un arsenal législatif comprenant la directive NIS 2, la directive REC et le règlement DORA, formant ainsi un cadre réglementaire complet pour la sécurité numérique européenne.

Face au constat que les utilisateurs manquent d'informations pour effectuer des choix éclairés, le texte impose des normes minimales de sécurité pour tous les produits comportant des éléments numériques, avec une obligation de mises à jour pendant cinq ans après leur commercialisation. Le règlement cible spécifiquement les produits connectés, des caméras aux appareils électroménagers intelligents, excluant toutefois les dispositifs médicaux et les véhicules déjà soumis à d'autres réglementations.

Les fabricants devront intégrer des fonctionnalités de sécurité essentielles, notamment une configuration sécurisée par défaut, un système de mise à jour automatique, une protection contre les accès non autorisés et un chiffrement des données stockées. Une déclaration UE de conformité devient obligatoire, accompagnée d'un marquage CE et d'indicateurs du niveau de risque cyber pour guider les consommateurs.

Les importateurs et distributeurs se voient attribuer un rôle de contrôle, devant vérifier la conformité des produits et des processus de gestion des vulnérabilités avant leur mise sur le marché. Des sanctions financières significatives sont prévues, pouvant atteindre 15 millions d'euros ou 2,5% du chiffre d'affaires pour les fabricants, et 10 millions d'euros ou 2% pour les importateurs et distributeurs.

Bien que son application complète soit prévue pour fin 2027, certaines dispositions entreront en vigueur plus tôt, notamment concernant la notification des organismes d'évaluation et les obligations de communication des vulnérabilités. Cette réglementation représente une avancée majeure pour la protection des consommateurs et la standardisation de la sécurité des produits connectés dans l'Union européenne.

Source : Le Monde Informatique