La cybersécurité ne se limite pas aux PC et smartphones. Les objets connectés pourraient prochainement être soumis à des règles strictes.
Alors que les cyberattaques tendent à se démultiplier et touchent tous types d’équipements appartenant tant à des organismes publics, à des entreprises, qu’à des particuliers, la Commission européenne se penche sur le cas des objets connectés.
Parce que la cybersécurité est actuellement au cœur des débats, Bruxelles planche actuellement sur un projet de loi visant à renforcer leur niveau de sécurité.
Nouvelle proposition pour le Cyber Resilience Act
Depuis plusieurs mois déjà, les membres de la Commission européenne travaillent à l’élaboration d’un projet de loi pour le Cyber Resilience Act en vue « d’établir des normes communes de cybersécurité pour les produits« .
Hier, le 15 septembre 2022, les députés se sont à nouveau réunis sur le sujet et veulent à terme « protéger les consommateurs et les entreprises contre les produits aux caractéristiques de sécurité insuffisantes« , qu’il s’agisse de dispositifs numériques avec ou sans fil. Thierry Breton confirme qu’absolument tous les objets qui communiquent avec un autre appareil ou un réseau sont concernés, tels que les PC, les smartphones, les voitures, les jouets. Or, il y a actuellement un vide juridique sur ce point devenu central.
Les intervenants rappellent combien c’est important à l’échelle de la société tout entière et pas uniquement pour des problématiques économiques.
Les fabricants et les revendeurs seront alors au centre de ces nouvelles règles. Comme le précise Margrethe Vestager, Vice-présidente exécutive pour une Europe adaptée à l’ère du numérique : « Tout comme nous pouvons faire confiance à un jouet ou à un réfrigérateur muni d’un marquage CE, nous pourrons, grâce à l’acte législatif sur la cyber-résilience, avoir l’assurance que les objets et les logiciels connectés que nous achetons offrent des garanties solides en matière de cybersécurité« . Et d’ajouter : « Cet acte fera peser la responsabilité sur ceux qui doivent l’assumer, c’est-à-dire ceux qui mettent les produits sur le marché ».
Des sanctions à la clé
Il ne s’agit pas ici de simples recommandations. Si ce texte est adopté, les fabricants devront s’attacher à garantir la sécurité numérique de leurs produits. Des certifications pourraient alors être mises en place et les États membres seront chargés de nommer des commissions pour faire appliquer la loi et éventuellement sanctionner les contrevenants, à l’instar de la norme CE actuellement en place.
Le Cyber Resilience Act doit à présent être étudié et sera éventuellement approuvé à la fois par la Commission et le Parlement européens. Si tel est le cas, en dépit de l’urgence de telles mesures, la loi ne devrait pas entrer en application avant plusieurs années, d’une part pour des questions de délais législatifs, et d’autre part pour permettre aux fabricants de se mettre en conformité.
À noter que face au développement du smart home, conscients des risques associés aux objets connectés, les géants de la tech ont de leur côté créé Matter. Il s’agit d’un protocole visant à faciliter la gestion des appareils de la maison intelligente, mais aussi et surtout de renforcer leur niveau de sécurité. Tous les acteurs s’accordent donc à dire qu’elle devient indispensable sur ces produits.
