L’Union européenne a adopté de nouvelles règles visant à accroître le niveau de sécurité pour tous les appareils connectés – avec des implications pour les fabricants, les importateurs et les distributeurs.
Comprendre le Cyber Resilience Act
Le Cyber Resilience Act (CRA) est un nouveau règlement de l’Union européenne visant à améliorer la cybersécurité de tous les produits comportant des éléments de réseau numérique vendus dans l’UE.
Il établit les premières exigences européennes en matière de cybersécurité pour les appareils connectés et les logiciels, harmonisant les réglementations existantes tout en complétant d’autres textes tels que NIS2, conçu pour renforcer la cybersécurité dans les secteurs critiques de l’UE.
L’objectif principal est de protéger les consommateurs et les entreprises contre les produits présentant une cybersécurité insuffisante. Lors de l’achat d’appareils connectés, il existe une plus grande garantie qu’ils répondent à une norme permettant de se prémunir contre les menaces.
Quels sont les principaux objectifs de la loi sur la cyber-résilience ?
L'objectif principal, mais non le seul, de la CRA est de garantir que tout produit comportant des éléments numériques respecte les principes de « Secure by Design » (sécurité dès la conception).
Cela s'applique dès l'achat du produit et tout au long de son cycle de vie. Les régulateurs européens souhaitent protéger les consommateurs en s'assurant que chaque appareil connecté vendu ne les expose pas à un risque accru en matière de cybersécurité.
Un objectif secondaire est d'améliorer la transparence en matière de sécurité et d'appareils connectés. Les fabricants doivent fournir des informations spécifiques telles que :
- La durée pendant laquelle ils fourniront des mises à jour de sécurité
- Comment configurer et entretenir le produit en toute sécurité, et
- Comment ils identifient, traitent et signalent les failles de sécurité – tant aux utilisateurs qu'aux autorités compétentes.
À qui et à quoi s'applique la loi sur la cyber-résilience ?
La loi sur la cyber-résilience a un champ d'application très large. Si toute personne fabriquant ou vendant un appareil connecté est évidemment concernée, de nombreux autres maillons de la chaîne d'approvisionnement doivent également en tenir compte.
Définition des « produits comportant des éléments numériques »
La loi sur la cyber-résilience définit un produit comportant des éléments numériques comme un « produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément ».
Le traitement des données à distance fait également l'objet d'une définition, qui inclut « l'absence de laquelle empêcherait le produit comportant des éléments numériques de remplir l'une de ses fonctions ».
Par exemple, une caméra réseau relève du champ d'application de la loi sur la cyber-résilience. Le matériel et/ou les logiciels finaux doivent tous respecter ces normes. Mais il en va de même pour les systèmes d'exploitation, les bibliothèques tierces et tout autre élément fourni qui compose l'appareil et contribue à son utilisation.
Les rôles des fabricants, des importateurs et des distributeurs
Le champ d'application étendu de la loi sur la cyber-résilience implique un partage important des responsabilités. Les fabricants doivent s'assurer que chaque composant pertinent de leur produit respecte les normes de cybersécurité, comme ils le feraient pour toute autre réglementation.
À leur tour, les importateurs et les distributeurs attendent la même chose des fabricants. L'écosystème dépend de la coordination et de la coopération tout au long de la chaîne d'approvisionnement pour répondre aux exigences de la CRA.
Principales exemptions à la loi sur la cyber-résilience
La loi sur la cyber-résilience prévoit certaines exemptions, notamment pour les logiciels libres à usage non commercial et les dispositifs médicaux, entre autres. Toutefois, d’autres réglementations en matière de cybersécurité s’appliquent dans ces cas. Les fabricants sont tenus de faire preuve de diligence raisonnable s’ils intègrent des logiciels libres dans leurs produits.
Quelles sont les principales exigences pour le secteur de la vidéosurveillance ?
Le secteur de la vidéosurveillance a l’obligation de fournir des produits conformes aux normes de cybersécurité. Elle ne se contente pas de fournir du matériel connecté qui présenterait un risque s'il n'était pas correctement sécurisé. Elle enregistre également des données qui doivent être conservées en toute sécurité.
Réaliser une évaluation des risques liés à la cybersécurité
Une évaluation des risques liés à la cybersécurité est requise pour chaque produit. Les résultats de cette évaluation sont ensuite pris en compte tout au long du cycle de vie du produit, de la planification et de la conception à la maintenance.
L'évaluation des risques doit être documentée et mise à jour, et doit se référer aux exigences de la Loi sur la cyber-résilience lorsqu'elles s'appliquent. Les fabricants sont tenus de documenter tous les aspects pertinents de la cybersécurité de leurs produits et d'enregistrer toute vulnérabilité qu'ils découvrent ou dont ils ont connaissance.
Garantir une conception et un développement sécurisés des produits
Les appareils connectés doivent être conçus et développés en intégrant la cybersécurité dès le départ. Cela permet d'assurer la sécurité dès la conception et par défaut. L'UE souhaite que les produits vendus sur ses marchés soient sécurisés « dès leur sortie d'usine », plutôt que de nécessiter une installation et une configuration complexes. Elle exige également que ces produits restent sécurisés s'ils sont utilisés conformément à leur destination.
Le concept « Secure by Design » repose essentiellement sur une racine de confiance matérielle (HRoT) et sur le système d'exploitation sous-jacent. Ce système d'exploitation est le logiciel qui s'exécute sur l'appareil.
La sécurité matérielle, telle que le démarrage sécurisé sur le système sur puce (SoC) et l'utilisation d'un élément sécurisé pour le stockage sécurisé des clés, fournit la protection de base. Le système d'exploitation s'appuie sur cette base pour offrir des fonctionnalités de sécurité au client.
Ces protections matérielles fondamentales sont souvent fournies par un écosystème de confiance composé de fournisseurs de composants et de partenaires spécialisés dans les semi-conducteurs.
Signalez les vulnérabilités activement exploitées et les incidents
Des délais stricts s'appliquent pour le signalement des vulnérabilités et des incidents de sécurité. Une alerte préliminaire doit être transmise dans les 24 heures suivant la prise de connaissance du problème, et un rapport complet doit être fourni dans les 72 heures.
Un rapport final doit être soumis dans les 14 jours suivant la mise en place d'une mesure corrective pour les vulnérabilités exploitées, et dans un délai d'un mois pour les incidents graves. La plateforme de signalement sera disponible à partir du 11 septembre 2026, date à laquelle les obligations de signalement entreront en vigueur.
Fournir des mises à jour de sécurité pendant tout le cycle de vie du produit
Les mises à jour de sécurité doivent être disponibles pendant toute la durée de vie du produit et être intégrées par défaut. Tout comme le système d'exploitation d'un ordinateur portable ou d'un smartphone se met à jour relativement facilement, il en va de même pour les composants numériques de tout appareil connecté.
La réglementation impose une période de support minimale de cinq ans pour les mises à jour de sécurité (à quelques exceptions près).
Cela inclut la durée de vie moyenne, les attentes des utilisateurs, les composants tiers et les exigences légales en dehors de la loi sur la cyber-résilience.
Créer une documentation technique et des instructions d'utilisation claires
La plupart des fabricants fournissent une forme ou une autre de documentation technique. Mais cela est désormais une obligation légale et fait partie de la preuve que les règles ont été respectées. La documentation technique doit contenir des détails sur l'évaluation des risques de cybersécurité, la période de support, les rapports de test attestant de la conformité, et plus encore.
Les exigences relatives au mode d'emploi doivent inclure les coordonnées du fabricant, des informations sur l'assistance en matière de cybersécurité fournie, ainsi que la procédure à suivre pour installer les mises à jour de sécurité. Ces documents doivent être considérés comme des « documents évolutifs », mis à jour lorsque cela s'avère nécessaire.
Comment Axis répond aux exigences du Cyber Resilience Act
Axis est bien préparée aux exigences essentielles du CRA – et vise à les dépasser. Il est important de travailler en étroite collaboration avec des partenaires tels que NXP Semiconductors, qui fournissent des éléments sécurisés EdgeLock® certifiés FIPS et Critères Communs, afin de garantir que les distributeurs et les clients finaux sachent que les produits sont conformes :
- Le modèle de développement de sécurité d’Axis (SDM) intègre la sécurité tout au long du cycle de vie logiciel, depuis la modélisation initiale des menaces et les tests de pénétration préalables à la sortie jusqu’à la gestion continue des vulnérabilités et un programme de bug bounty après la mise sur le marché. Cela garantit une approche proactive et continue de la sécurité logicielle.
- La collaboration avec NXP soutient l’intégration de fonctionnalités de sécurité basées sur le matériel. Cela inclut l’utilisation d’éléments sécurisés EdgeLock fiables et certifiés, contribuant à établir une racine de confiance matérielle au sein des appareils Axis et permettant de prendre en compte les aspects de sécurité dès les premières étapes de conception.
- Axis est une CNA, ou CVE Numbering Authority, avec la capacité d’attribuer des identifiants CVE pour les vulnérabilités. Elle le fait via le site CVE, son propre site web et par e‑mail aux abonnés, garantissant que tous les utilisateurs soient alertés des risques le plus rapidement possible.
- Le logiciel de gestion des appareils Axis fournit des notifications de mises à jour de sécurité et permet des mises à niveau automatiques ou manuelles de l’AXIS OS, sur des centaines d’appareils si nécessaire. Les dates de fin de support logiciel sont facilement accessibles.
- Des SBOM sont disponibles pour la plupart des produits basés sur AXIS OS, les enregistreurs vidéo en réseau, ainsi que pour la plupart des logiciels Axis de gestion vidéo et de gestion d’appareils.
Quel est le calendrier du Cyber Resilience Act ?
L’application complète du Cyber Resilience Act commence le 11 décembre 2027. À partir de cette date, tous les produits matériels et logiciels sur le marché de l’UE devront être entièrement conformes et porter le marquage CE. Une préparation anticipée est essentielle pour les produits déjà en cours de développement.
Il convient toutefois de noter certaines dates importantes. Le 11 juin 2026, le cadre relatif à la notification des organismes d'évaluation de la conformité entrera en vigueur. Cette date est importante pour les produits classés comme « importants » ou « critiques », qui nécessitent une évaluation par un tiers.
La date du 11 septembre 2026 a une portée plus large, car c'est à partir de cette date que les obligations de déclaration s'appliquent. Les fabricants devront commencer à signaler les vulnérabilités activement exploitées après cette date.
La CRA s'appliquera à tous les produits mis sur le marché après l'entrée en vigueur de la loi, même s'ils ont été conçus et développés avant cette date.
Quelles sont les sanctions en cas de non-respect ?
Les sanctions en cas de non-respect sont sévères et visent à inciter les entreprises de toutes tailles à se conformer à la réglementation. La sanction maximale est une amende pouvant atteindre 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
Cela est réservé aux cas de non‑conformité aux exigences essentielles en matière de cybersécurité. Des amendes plus faibles, mais néanmoins significatives, s’appliqueront en cas d’infractions telles que des défaillances dans la gestion des vulnérabilités ou la communication d’informations incomplètes ou incorrectes en réponse à une demande.
La conformité au Cyber Resilience Act n’est pas facultative
Même pour les fabricants qui s’efforcent de garantir que leurs produits sont et restent sécurisés, le CRA introduit des règles strictes sur la manière dont ils doivent documenter et prouver cela auprès des régulateurs, de leurs clients et de leurs distributeurs.
Les nouvelles règles renforcent la nécessité d’une sécurité dès la conception, intégrée dans chaque choix effectué lors de la création d’un produit. Cela signifie que la préparation à la sécurité à long terme dépend de décisions de conception prises des années avant le déploiement – elle ne peut pas être ajoutée ultérieurement ou corrigée par un simple correctif.
Il existe également une question d’accès et de confiance. Comme le respect des réglementations dépend de différentes parties de la chaîne d’approvisionnement, il est clairement nécessaire que les entreprises se conforment afin de se protéger mutuellement. De plus, les clients seront plus enclins à faire confiance aux fournisseurs et aux fabricants ayant un dossier irréprochable.
Cela souligne l’importance d’une collaboration étroite tout au long de la chaîne de valeur, des fournisseurs de composants aux fabricants d’appareils, afin de soutenir la préparation à la cybersécurité à long terme.
