Un projet de loi qui devrait être présenté la semaine prochaine obligerait leurs fabricants à respecter des règles pour éviter les cyberattaques.
Après avoir proposé des règles pour renforcer la cybersécurité des institutions, organes et organismes de l’Union européenne (UE), Bruxelles s’apprête à en faire de même pour les appareils connectés. Selon un document consulté par Reuters, la Commission européenne prévoit d’imposer de nouvelles obligations aux fabricants de télévision, réfrigérateurs et autres appareils électroménagers intelligents avec une proposition de loi. Censée être présentée le 13 septembre, elle exigera que les entreprises se conforment à des règles pour réduire les risques de cyberattaques.
En plus de devoir évaluer les risques cyber de leurs produits, les fabricants seront tenus d’informer l’agence européenne pour la cybersécurité (ENISA) des incidents dans les 24 heures une fois qu’ils auront eu connaissance des problèmes. Ils seront également obligés de prendre les mesures appropriées pour résoudre ces derniers. Les importateurs et les distributeurs devront, eux, vérifier que ces appareils connectés sont conformes aux règles de l’UE.
Obliger les entreprises à mieux protéger leurs appareils
Ces nouvelles règles permettraient de réduire le coût des cyber-incidents pour les entreprises jusqu’à 290 milliards d’euros par an alors que les coûts de mise en conformité s’élèveraient à environ 29 milliards d’euros. D’autre part, les fabricants ne s’y conformant pas pourront se voir infliger des amendes allant jusqu’à 15 millions d’euros ou 2,5% de leur chiffre d’affaires mondial, avec des sanctions financières moins élevées pour les infractions les moins graves. Ils risquent aussi de ne plus pouvoir proposer un appareil problématique en termes de cybersécurité au sein de l’UE, avec chaque autorité nationale de surveillance qui sera en mesure d’« interdire ou restreindre la mise à disposition de ce produit sur son marché national, le retirer de ce marché ou le rappeler ».
La proposition de loi de la Commission européenne est un moyen d’accroître le nombre d’entreprises se protégeant efficacement contre les cyberattaques. Selon une étude des régulateurs de l’UE mentionnée par le Financial Times, seulement la moitié des sociétés concernées disposent de mesures adéquates contre celles-ci. Par ailleurs, deux tiers des cyberattaques proviennent de failles détectées précédemment, mais qui n’avaient été corrigées par les fabricants.
À noter que l’UE n’est pas la seule à vouloir renforcer la cybersécurité des appareils connectés. En novembre 2021, le Royaume-Uni a présenté un projet de loi visant à les protéger des hackers, en obligeant les fabricants, importateurs et distributeurs à respecter de nouvelles normes telles que l’interdiction des mots de passe par défaut faciles à deviner.
