La loi sur la cyber-résilience : Ce que les responsables de la sécurité doivent savoir maintenant

La loi européenne sur la cyber-résilience (CRA) est la première du genre. Elle oblige les fabricants de matériel et de logiciels à mettre en œuvre des mesures de sécurité tout au long du cycle de vie de leurs produits.

Et il ne s'agit pas d'une simple case à cocher de conformité. Il s'agit d'une série d'exigences essentielles en matière de cybersécurité qui peuvent avoir de graves conséquences si elles sont ignorées.

Les obligations de l'ARC de l'UE s'appliqueront à partir du 11 décembre 2027. Voici tout ce que vous et votre équipe devez savoir avant cette date butoir.

Qu'est-ce que la loi sur la cyber-résilience ?

Le Loi sur la cyber-résilience (CRA) est le premier règlement de l'Union européenne en matière de cybersécurité pour les produits logiciels et matériels.

• Logiciel : Produits numériques, y compris les applications, les systèmes d'exploitation et les bibliothèques de codes, qu'ils soient installés sur un appareil ou qu'ils fassent partie d'un système connecté.
• Matériel : Les appareils physiques connectés, y compris les appareils de l'internet des objets (IoT), les technologies domestiques intelligentes (comme les moniteurs pour bébés), les routeurs, les appareils électroniques grand public, et plus encore.

En fin de compte, tout ce qui comporte un élément numérique pourrait relever de la loi sur la cyber-résilience.

Et il tombe à point nommé.

Dans un interview podcast en janvier 2025, John Burke a déclaré : "La vérité, c'est que la base technologique dont dépendent nos infrastructures vitales est en train de s'effondrer. est intrinsèquement peu sûr à cause de décennies d'incitations mal alignées qui a privilégié les fonctionnalités et la rapidité de mise sur le marché au détriment de la sécurité."

L'objectif de l'ARC est simple : réduire les vulnérabilités des produits numériques et veiller à ce que la cybersécurité fasse partie du cycle de vie des produits, de leur conception à leur mise hors service.

Ses objectifs sont les suivants

1. Pour améliorer les normes de sécurité pour le matériel et les logiciels.
2. Veiller à ce que fabricants assumer la responsabilité de la cybersécurité pendant toute la durée de vie d'un produit.
3. Pour donner aux clients des informations claires sur la sécurité des produits.

Pourquoi le règlement européen sur l'ARC a-t-il été introduit ?

Jusqu'à présent, la plupart des produits numériques ont été livrés non sécurisés par défaut. Ces produits se sont avérés être le point d'entrée ultime pour les cybercriminels.

Le Parlement européen a donc invoqué ces raisons pour justifier ses nouvelles exigences :

• Cyberattaques cibler davantage les organisations de l'UE que partout ailleurs dans le monde.
• Les coûts des cyberattaques sont en hausse de 15% chaque année rien qu'aux États-Unis.
• Avec des estimations de 30 à 40 milliards d'appareils connectés d'ici à 2030, l'ampleur du risque cybernétique ne fera que croître.

Graphique de l'ARC montrant les raisons de sa mise en œuvre. Source.

Quels sont les avantages de l'ARC ?

Sur sa page officielle, la Commission européenne Loi sur la cyber-résilience cite 7 avantages fondamentaux de ses normes de cybersécurité :

1. Harmonie : Prévenir les chevauchements de réglementations et faire en sorte que tous les fabricants soient sur la même longueur d'onde.
2. La sécurité : Protéger les entreprises et les consommateurs des dommages potentiels causés par les cyberattaques.
3. L'économie : Protéger les entreprises contre les coûts financiers potentiels d'une violation de données.
4. Fiabilité : Renforcer la confiance des clients dans les produits numériques, ce qui pourrait profiter aux entreprises.
5. Rentabilité : Générer une demande accrue pour les produits numériques, grâce à leurs caractéristiques de sécurité améliorées.
6. Transparence : Améliorer la satisfaction des clients en leur permettant de mieux comprendre comment sont fabriqués leurs produits matériels et logiciels.
7. Vie privée : Protéger les "droits fondamentaux", notamment en ce qui concerne les lignes directrices relatives aux données et à la vie privée.

À qui s'applique l'ARC ?

Si votre entreprise fabrique, importe, distribue ou vend des produits contenant des composants numériques dans l'UE, la CRA s'applique à vous.

Il s'agit notamment de

• Entreprises basées dans l'UE
• Vendeurs hors UE proposer des logiciels ou des dispositifs sur le marché de l'UE
• Acteurs de la chaîne d'approvisionnementles importateurs et les distributeurs

En outre, les exigences de l'ARC varient en fonction de votre secteur d'activité. Il existe différentes lignes directrices pour Fabricants d'appareils IoT, développeurs de logicielset les acteurs de la chaîne d'approvisionnement.

Graphique de l'ARC montrant les différents mandats. Source.

Comment les produits numériques sont-ils classés par l'ARC ?

Dans le cadre de l'ARC, les produits sont classés en trois catégories en fonction du risque qu'ils présentent pour la cybersécurité et du niveau d'accès qu'ils ont aux systèmes ou aux infrastructures sensibles.

Voici une analyse de la situation Forbes:

• 🟡 Standard (non critique) : Cela concerne la majorité des produits de la vie courante, tels que les disques durs externes, les haut-parleurs et les appareils de jeu. 90% de produits relèvent de cette norme.
• 🟠 Classe I (risque critique moindre) : Couvre les outils ayant un certain accès au niveau du système, comme les VPN, les pare-feu, les navigateurs et les gestionnaires de mots de passe.
• 🔴 Classe II (risque critique plus élevé) : Réservé aux produits ayant un accès profond aux systèmes centraux (systèmes d'exploitation, unités centrales, pare-feux industriels et autres composants similaires).

Il existe différentes listes de contrôle de conformité, selon que vous proposez des produits standards ou critiques.

Y a-t-il des exceptions ?

Il y a des exclusions, comme certains logiciels libres, le SaaS pur qui est déjà couvert par le Directive NIS2ou des industries réglementées comme les appareils médicaux, les équipements marins et l'aviation.

Mais pour la plupart des responsables de la sécurité, le risque d'inaction est élevé.

Quelles sont les exigences de l'ARC ?

L'ARC introduit des exigences de sécurité obligatoires tout au long du cycle de vie d'un produit (5 ans, ou moins si la durée de vie est plus courte).

Voici les principaux éléments de résilience en matière de cybersécurité :

1. Sécurité par conception : La cybersécurité doit être prise en compte dans la planification, la conception et le développement des produits. Il n'est plus question de l'ajouter après coup.
2. Mesures liées au GDPR : En particulier, les fabricants doivent prévoir des dispositions pour l'évaluation des risques, la gestion des incidents et les solutions de traitement des données.
3. Traitement des vulnérabilités : Les vendeurs doivent créer des produits qui peuvent être corrigés et mis à jour pour remédier aux éventuelles vulnérabilités. Les mises à jour de sécurité devraient être une procédure standard.
4. Instructions de sécurité conviviales : Ils doivent également disposer d'une documentation technique permettant aux clients de comprendre les caractéristiques de cybersécurité du produit, dans un format clair et facile à suivre.
5. Rapports sur les incidents et les vulnérabilités : Les vulnérabilités activement exploitées et les incidents doivent être signalés au CSIRT (Computer Security Incident Response Team) et à l'ENISA (Agence européenne pour la cybersécurité) dans les 24 heures.
6. Déclaration de conformité : Vous devrez évaluer les risques de cybersécurité associés à vos produits et veiller à ce qu'ils fassent l'objet d'une évaluation de conformité. S'il s'avère que l'un de ces produits n'est pas conforme aux exigences de l'ARC, vous pourrez être amené à le rappeler ou à le retirer du marché.

Qu'est-ce que le marquage CE ?

Le Marque CE montre que les fonctionnalités d'un produit sont conformes aux normes de l'UE. Dans le cadre de l'ARC, cela inclut les exigences en matière de cybersécurité pour les appareils IoT.

À partir de décembre 2027, les produits qui en sont dépourvus ne pourront plus être vendus légalement dans l'UE, ce qui le rend essentiel pour l'accès au marché intérieur.

Le calendrier de l'ARC et son application

La loi sur la cyber-résilience est officiellement entrée en vigueur, déclenchant une période de transition qui donne aux fabricants le temps de s'aligner sur les nouvelles exigences.

Voici ce à quoi il faut s'attendre :

• La conformité totale est obligatoire dans un délai de 36 moisLes entreprises ont donc jusqu'à fin 2026 ou début 2027 (en fonction de la date d'entrée définitive) pour remplir la plupart des obligations de l'ARC.
• Les obligations d'information entrent en vigueur plus tôt-21 mois seulement après l'entrée en vigueur de la directive. D'ici là, les fabricants devront être prêts à signaler les vulnérabilités activement exploitées et les incidents de sécurité majeurs impliquant leurs produits.

La non-conformité n'est pas seulement un risque pour la réputation. Les sanctions sont importantes : les entreprises peuvent se voir infliger des amendes allant jusqu'à 15 millions d'euros ou 2,5% du chiffre d'affaires annuel mondialle plus élevé des deux.

Les principaux risques et défis de l'ARC

Bien que l'ARC soit une évolution bienvenue pour les clients et les entreprises, sa mise en œuvre présente quelques défis uniques.

Les équipes chargées de la sécurité et les responsables de produits sont confrontés à des questions difficiles :

• Comment identifier les produits qui relèvent du champ d'application de l'ARC ?
• Nos pratiques actuelles de développement de logiciels sont-elles prêtes pour l'ARC ?
• Pouvons-nous fournir une documentation pour chaque risque de cybersécurité ?
• Quelle est notre procédure de divulgation des vulnérabilités et de signalement des incidents ?

L'ARC a également suscité des inquiétudes au sein de l communauté open-source. Des groupes comme le Fondation Linux ont souligné que des définitions vagues et des obligations étendues pourraient involontairement imposer un fardeau injuste aux contributeurs de logiciels libres.

Ils suggèrent également que l'ARC pourrait entraîner une augmentation de 6% du prix moyen des produits numériques.

Cette augmentation de prix est due à des implications budgétaires. Le respect des obligations de l'ARC entraîne de nombreux coûts.

Heureusement, le site web de l'ARC fournit une calculateur de coûts de mise en conformité pour aider les entreprises à déterminer leurs coûts de mise en œuvre.

Mais pour beaucoup, le plus grand défi sera la visibilitéen chaînes d'approvisionnementdes bibliothèques tierces et des composants intégrés.

Vulnérabilités de la chaîne d'approvisionnement : Comment lutter contre les menaces cachées

Cependant, des outils tels que CybelAngel peut lever cette pression.

CybelAngel est une plateforme de renseignement sur les menaces externes qui aide les organisations à sécuriser tous leurs actifs numériques en contact avec le public, de la prévention des violations de données à la protection des données personnelles. gestion de la surface d'attaque.

Que doivent faire les RSSI dès maintenant ?

Voici par où commencer :

1. Faites l'inventaire de vos produits numériques : Sachez ce qui est inclus dans le champ d'application. N'oubliez pas les logiciels intégrés, les microprogrammes ou les modules connectés. Utilisez un outil de veille sur les menaces comme CybelAngel pour obtenir une visibilité complète.
2. Évaluez vos pratiques DevSecOps : Le codage sécurisé, la modélisation des menaces et l'évaluation des risques sont-ils des éléments essentiels de la sécurité ? SBOMs (nomenclatures logicielles) dans votre flux de travail ? Le moment est venu de mettre en place des circuits de développement sécurisés.
3. Examinez votre processus de réponse aux incidents et de divulgation : Qui s'occupe des rapports à l'ENISA ? Vérifiez également vos processus de divulgation des vulnérabilités et d'application des correctifs.
4. Coordonner avec les équipes juridiques et de conformité : L'ARC est une obligation légale - les amendes peuvent atteindre 15 millions d'euros ou 2,5% du chiffre d'affaires mondial en cas de non-conformité. Soyez prêts pour le marquage CE et les audits par des tiers.

Dernières réflexions

L'ARC signale que l'on s'éloigne des logiciels non sécurisés par défaut.

Pour les responsables de la sécurité, il ne s'agit pas seulement d'une question de conformité, mais d'une chance d'intégrer la sécurité comme une qualité essentielle du produit.

N'attendez pas l'échéance de 2027. C'est maintenant qu'il faut aligner votre stratégie, et votre entreprise et vos clients vous en remercieront plus tard.