Cette loi sur la cyber-résilience devrait répondre à plusieurs objectifs cruciaux de l’Union européenne en matière de cybersécurité. Elle contraindra par exemple les fabricants avec des règles plus claires qui devraient permettre la diminution du nombre de cyberattaques et du coût total de la cybercriminalité de 290 millions d’euros par an. Dans la pratique, on peut se demander comment si cela est bien réaliste ?
Améliorer le niveau de sécurité des produits et les pratiques des utilisateurs
Ce nouveau texte de loi sert principalement à assimiler les différents enjeux qui fragilisent les mesures prises en matière de cybersécurité par les entreprises. Tout d’abord, le niveau de sécurité des produits est remis en question, en effet on compte un produit TIC sur quatre en circulation avec un niveau de sécurité insuffisant. Ces lacunes sont ensuite comblées par des mises à jour. Si cette stratégie permet aux fabricants une mise en vente de leur produit plus rapide, les mises à jour n’interviennent souvent qu’après qu’une faille ait été remarquée. Le produit devrait être inclus avec le niveau de sécurité adéquat dès sa mise en vente afin d’engager les entreprises dans la protection efficace de leur produit malgré le coup de cet investissement.Le second aspect que ce projet de loi souhaite améliorer est le manque de connaissances sur les manières responsables d’utiliser ses outils TIC. Lors de l’achat d’un de ces outils, la sécurité n’est pas un critère central pour les utilisateurs qui la considère comme inhérente à sa conception. Aujourd’hui, en Europe, sept utilisateurs sur dix considèrent ne pas avoir été assez sensibilisés aux menaces de cyberattaques. Ce manque d’information peut amener l’acheteur à être plus méfiant vis-à-vis des produits technologiques dits
« révolutionnaires ». La bonne communication des informations essentielles sur le niveau de sécurité des produits par les fabricants auprès des utilisateurs est donc primordiale.
Comprendre cette nouvelle législation
Il existe actuellement 33 textes législatifs dans le code de droit européen en lien avec la cybersécurité et quatre sont pour le moment en cours d’élaboration. Alors pourquoi aurions-nous besoin d’un autre projet de loi?Parce que celui-ci s’inscrit dans la continuité de la loi de 2019 sur la cybersécurité, qui marquait la première étape vers l’encadrement du marché européen des TIC. Ce nouveau projet a pour ambition d’homogénéiser les réglementations des différents pays en matière de cybersécurité et de contrôle des produits sous une seule et ainsi mettre fin à la fragmentation du marché. Ce projet de loi sera donc un moyen de corriger les failles de la loi précédente, tout en instaurant un règlement strict qui sera suivi par tous les acteurs de l’Union européenne.
Plus de transparence des fabricants
Ce projet de loi met l’accent sur la responsabilité des fabricants en matière de cybersécurité dans le développement de leurs produits, de leurs matériels et de leurs logiciels. La loi s’applique donc aux fabricants de « tout produit dont l’utilisation prévue nécessite une connexion numérique ou physique directe ou indirecte à un dispositif ou à un réseau »Les fabricants sont donc tenus de respecter trois obligations. Dans un premier temps, ils devront respecter une charte de « règles de sécurité essentielles » pour chaque étape de développement, de conception et de fabrication de leur produit. Ils garantiront entre autres: la protection contre les intrusions, la sécurité des données sensibles ou le développement des mises à jour. Afin de garantir une bonne prise en main des produits par les utilisateurs, les fabricants devront également leur procurer les informations concernant l’installation et l’utilisation des produits.
Enfin, afin de favoriser la transparence avec leurs clients, des évaluations de sécurité réalisées par de tiers seront mises en place. Cette démarche obligera les fabricants à informer sur les vulnérabilités et modifications d’un produit après sa distribution. Un fabricant manquant à cette obligation sera sanctionné d’une part par le retrait du marché des produits non conformes aux degrés de sécurité attendus et il sera également soumis à des amendes s’il ne montre aucune volonté d’améliorer de son produit.
L‘open source étant une propriété collective de plusieurs contributeurs mis à disposition pour un usage public, il est par conséquent exempt de ces questionnements. Les contributeurs ne seront donc pas poursuivis. Les sanctions ne s’appliqueront que dans le cas où une société commerciale utilisant ce code dans un but lucratif, incitant alors ces organisations à rectifier et renforcer la sécurité de leurs produits open source.
L’effet RGPD
Avec cette loi sur la cyber-résilience, l’Union européenne cherche à encourager une utilisation intelligente de la technologie et des données. Pourtant on peut se questionner quant à l’adoption et à l’efficacité des autres initiatives de ce projet de loi. L’avertissement systématique des utilisateurs d’un manque de sécurité peut avoir des résultats similaires à « l’effet RGPD » et ainsi desservir le projet. Depuis son entrée en vigueur en 2018, beaucoup d’entreprises ne respectent que partiellement cette réglementation. On note un agacement collectif par tous les menus de cookies à prendre en compte à chaque entrée sur un site web. Les avertissements constants du danger semblent même avoir l’effet inverse et dérouter les utilisateurs ou encore les rendre indifférents.La loi sur la cyber-résilience semble un peu ambitieuse et nécessitera un temps d’adaptation des entreprises avant d’être complètement acceptée. Ajoutons à cela, la condition d’un investissement important des fabricants dans la sécurité de leurs produits pour être en conformité. Il est permis de prévoir des tentatives de négociations pour obtenir certains ajustements de la part de groupes de pression.
Il est évident que quelques années devront s’écouler avant de voir de possibles résultats significatifs en matière de cybersécurité bien que les objectifs de l’Union européenne semblent atteignables.
Par Chester Wisniewski, Field CTO de Sophos