Comment l'Europe veut renforcer la protection des objets connectés

Renforcer le niveau de sécurité des objets connectés et des produits numériques. Telle est l’ambition du "Cyber Resilience Act". Ce projet de règlement, porté par la Commission européenne et qui sera présenté jeudi 15 septembre au Parlement européen, entend inciter les fabricants d’objets connectés à intégrer la sécurité dès la conception de leurs produits afin de limiter les possibilités de cyberattaques.

Dans le détail, ce projet de loi prévoit que les fabricants devront surveiller et corriger les failles dans la durée et garantir la cybersécurité des produits tout au long de leur cycle de vie s’ils veulent obtenir une homologation et être vendus dans l’Union européenne, rapporte un article publié lundi 12 septembre par le site Siècle Digital.

Parmi les obligations formulées pour atteindre cet objectif: l’interdiction de mot de passe par défaut, l’obligation de recenser les événements de sécurité pertinents, le chiffrage des données confidentielles ou encore la sobriété dans l’usage des données.

Les objets connectés, vecteurs de cyberattaques

Cela concernerait aussi bien les télévisions, les frigos, les caméras, les équipements électriques connectés, les ordinateurs ou les logiciels autonomes que des composants entrant dans la composition de systèmes intelligents comme les puces et les routeurs. Dans ce cadre, Bruxelles souhaite établir une liste d’objets connectés en fonction de leur niveau de risque en matière de cybersécurité. Pour les objets présentant le moins de menaces, les fabricants devront assurer eux-mêmes les tests et vérifications nécessaires pour montrer que leurs produits répondent aux exigences imposées.

En revanche, la Commission européenne exigera un audit de sécurité par des acteurs tiers pour les produits considérés à haut risque. Les smartphones, les systèmes d’exploitation, les émetteurs de certificats numériques, les puces, les compteurs intelligents, les pare-feu à usage industriel ainsi que tout ce qui est utilisé dans une infrastructure numérique critique, intègrent cette catégorie.

Les sociétés qui ne respecteront pas le règlement seront passibles de sanctions: une amende pouvant atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial de l’année précédente jusqu’au rappel ou au retrait de produits du marché européen. Les objets connectés sont des vecteurs de cyberattaques et doivent, d’après la loi, pouvoir "garantir la confidentialité des données", notamment en utilisant le chiffrement, en protégeant leur intégrité et en ne traitant que les données strictement nécessaires à leur fonctionnement.