KANBrief 3/23
Les fabricants de produits « comportant des éléments numériques » devront à l’avenir garantir la cybersécurité pendant tout leur cycle de vie : c’est ce que prévoit la Commission européenne avec la législation sur la cyberrésilience.
Face aux cyberattaques répétées, impliquant notamment des chevaux de Troie de cryptage, la Commission européenne maintient la pression pour que soient sécurisées les failles informatiques. Après des textes tels que la loi sur la cybersécurité adoptée en 2019, qui établit la base d’un cadre de certification à l’échelle européenne pour la sécurité informatique des appareils, systèmes et services connectés, ou après le récent amendement de la directive sur la sécurité des réseaux et des systèmes d’information (SRI 2), elle a lancé en septembre 2022 une proposition de législation sur la cyberrésilience (Cyber Resilience Act – CRA). Selon le projet de règlement, les produits « comportant des éléments numériques » – tant les produits matériels que les logiciels – devront à l’avenir présenter moins de vulnérabilités lors de leur mise sur le marché.
Le champ d’application de la proposition est vaste. La Commission veut notamment couvrir « tout produit logiciel ou matériel et ses solutions de traitement de données à distance », y compris leurs composants, même s’ils sont mis sur le marché séparément. L’une des priorités devrait porter sur l’internet des objets ou sur les routeurs à usage privé qui, en raison de nombreuses failles de sécurité intégrées, sont aujourd’hui souvent faciles à pirater. Le règlement ne s’applique pas aux produits « développés exclusivement à des fins de sécurité nationale ou à des fins militaires, ni aux produits spécifiquement conçus pour traiter des informations classifiées. » Les secteurs tels que l’aviation, les dispositifs médicaux ou l’automobile ne sont pas non plus concernés, car ils sont déjà soumis à des exigences qui leur sont propres.
Selon le projet, les fabricants concernés devront à l’avenir répondre à des exigences fondamentales en matière de cybersécurité pour la conception, le développement et le processus de fabrication avant de mettre un appareil sur le marché. Ils doivent être tenus d’en surveiller les vulnérabilités tout au long de son cycle de vie, et d’y remédier par des mises à jour automatiques et gratuites. S’ajoute pour les fabricants l’obligation de signaler à l’ENISA (l’agence de cybersécurité de l’UE) tout incident ayant des répercussions sur la sécurité d’un produit matériel et logiciel, et ce dans un bref délai de 24 heures. D’une manière générale, il est prévu de mettre en place une politique de divulgation coordonnée des vulnérabilités.
Selon le futur règlement, les surfaces d’attaque des appareils concernés doivent être limitées, et l’impact des incidents réduit à son strict minimum. Les produits concernés doivent garantir la confidentialité des données, par exemple par le biais d’un cryptage. Il est prévu de rendre obligatoire la protection de l’intégrité et du traitement des informations et des valeurs mesurées indispensables au fonctionnement d’un article.
En plus de ces exigences de base, la Commission européenne a identifié des domaines à haut risque particulièrement critiques. Elle divise les produits correspondants en deux classes, pour lesquelles il est prévu de mettre en place une procédure de conformité différente. Font notamment partie de la classe I les logiciels de gestion des identités, les navigateurs, les gestionnaires de mots de passe, les logiciels antivirus, les pare-feux, les réseaux privés virtuels (VPN), les systèmes de gestion des réseaux, les systèmes informatiques complets, les interfaces réseau physiques, les routeurs et les puces. S’y ajoutent les systèmes d’exploitation pour smartphones ou pour ordinateurs de bureau, les microprocesseurs et l’internet des objets dans les entreprises qui ne sont pas considérées comme particulièrement sensibles.
Soumise à des risques plus élevés, la classe II comprend les ordinateurs de bureau et appareils mobiles, les systèmes d’exploitation virtualisés et intégrés par exemple dans des machines, les émetteurs de certificats numériques, les microprocesseurs à usage général, les lecteurs de cartes à puce, les composants de détection de robots, et les compteurs intelligents. Doivent également faire partie de cette classe les dispositifs de l’internet des objets, les routeurs et les pare-feux destinés à un usage industriel, ce dernier étant considéré généralement comme « environnement sensible ». Il y a longtemps en effet que les failles de sécurité informatiques ont des répercussions massives sur les machines et les installations qui, étant de plus en plus connectées, ne sont plus uniquement accessibles dans l’enceinte de l’entreprise, et ont de ce fait également un impact sur la SST.
Les fabricants doivent faire évaluer la conformité de leurs produits soit par une procédure interne, soit par contrôle effectué par un organisme notifié. Si le fabricant opère en conformité avec des normes harmonisées, ou a déjà obtenu un certificat dans le cadre d’un système européen de certification en matière de cybersécurité, on peut partir du principe que le matériel ou le logiciel concerné est conforme au règlement. Les importateurs et distributeurs sont tenus de vérifier que le fabricant a respecté les procédures pertinentes, et que l’appareil porte le marquage CE. Pour les produits peu critiques, les fabricants sont autorisés à établir eux-mêmes une déclaration de conformité. Pour la classe II, une évaluation effectuée par un tiers sera obligatoire.
La Commission estime qu’il y a urgence à agir : en 2021, on avait en effet déjà estimé que les coûts provoqués chaque année par la montée de la cybercriminalité se chiffraient à 5,5 billions d’euros. Dans un environnement connecté, tout incident de cybercriminalité ciblant un produit peut avoir un impact sur toute une entreprise, voire sur toute une chaîne d’approvisionnement, et se propager, souvent en quelques minutes seulement, au-delà des frontières du Marché intérieur, comme cela a été le cas pour le virus informatique WannaCry. Cela pourrait avoir pour effet de stopper des activités économiques et sociales, voire de mettre des vies humaines en péril.
Dans une prise de position (en allemand), l’Assurance sociale allemande des accidents du travail et maladies professionnelles (DGUV) critique déjà le fait que le terme central de « cybersécurité » n’est pas clairement défini. Dans diverses normes et réglementations, il désigne tour à tour un état, une activité ou un produit. D’une manière générale, les mots comportant le préfixe « cyber », mais non spécifiés précisément, posent problème. Ainsi, selon certaines sources, les attaques par radio ou par clé USB ne sont pas considérées comme étant des événements relevant de la cybersécurité.
La DGUV voit également d’un œil critique l’obligation qu’ont les fabricants de signaler dans les 24 heures, avec force détails, toute faille de sécurité. Dans de nombreux cas, procéder à un contrôle dans un laps de temps aussi court n’est pas réaliste. De plus, il n’est pas absolument indispensable de transmettre des détails susceptibles d’être utilisés pour une attaque. Dans sa prise de position, la DGUV plaide pour que soient transmises uniquement les données dont les autorités ont vraiment besoin, par exemple pour mettre en garde contre un produit ou pour évaluer l’impact d’une faille. La DGUV estime aussi que le délai de deux ans qui est prévu pour une adaptation aux nouvelles exigences est trop court pour les fabricants qui sont tributaires d’autres produits et doivent par exemple attendre une évaluation de conformité.
Comme le déplore aussi Jonas Stein, qui dirige le groupe de travail Security de la DGUV, il est impossible de contrôler de manière adéquate les systèmes d’exploitation, car ils évoluent constamment. De plus – comme c’est le cas notamment pour Linux – ils s’agit souvent de systèmes d’exploitation open source. Or, les logiciels libres ne proviennent pas d’un seul et même fabricant qui serait responsable de la procédure de conformité. Le monde de l’open source craint lui-même de tomber dans le piège de la responsabilité, car dans le cas d’œuvres communes créées par plusieurs développeurs, chacun d’entre eux aurait à répondre de failles potentielles. Comme le déplore la Free Software Foundation Europe (FSFE), « En raison du manque de financement et de ressources nécessaires pour suivre les procédures proposées pour la conformité CE, il est possible que certains de ces projets doivent être totalement abandonnés. »
Le Conseil des ministres de l’UE et la Commission de l’industrie du Parlement européen, en charge du dossier, ont pris position mi-juillet sur la proposition de la Commission, de sorte que les négociations portant sur un compromis final pourront bientôt commencer. Les États membres plaident notamment pour une simplification de la déclaration de conformité, pour un soutien accru pour les petites entreprises, et pour une clarification par les fabricants de la durée de vie escomptée des produits. Par ailleurs, ce n’est pas à l’ENISA, mais aux autorités nationales compétentes qu’il conviendrait de signaler les vulnérabilités exploitées ou les incidents de sécurité. Les députés, quant à eux, réclament des définitions plus précises, des calendriers réalisables et une répartition plus équitable des responsabilités. Ils insistent par ailleurs pour que les appareils pour la maison intelligente, les montres connectées et les caméras de sécurité privées soient également inclus dans la classe à haut risque.
Dr Stefan Krempl
Journaliste indépendant
sk@nexttext.de