Objets connectés et cybersécurité : l’UE s’attaque au problème

La vulnérabilité des objets connectés face aux cyberattaques est un problème bien connu. Mi-septembre 2022, la Commission européenne a mis sur la table un nouveau projet législatif visant à pousser les fabricants à améliorer la sécurité de leurs produits. Selectra vous explique tout.

La cyberésilience des objets connectés, un enjeu essentiel

Avec la démocratisation de la domotique vient sa régulation. Les objets connectés font désormais partie intégrante de nos quotidiens, mais les règles encadrant leur fabrication, leur maintenance et l’utilisation des données qu’ils accumulent restent très limitées. Cette situation n’est pas anodine, et peut même parfois être dangereuse pour les consommateurs.

Réfrigérateurs, thermostats, caméras, ordinateurs, voitures, téléviseurs, assistants vocaux… Tous les objets connectés sont concernés. Leur vulnérabilité potentielle face aux cyberattaques est bien connue, et pourtant, encore aujourd’hui, les fabricants trainent la patte. Si le sujet de la vie privée revient souvent lorsque l’on évoque la domotique, celui de la cybersécurité est moins abordé, mais tout aussi primordial.

En septembre 2022, la Commission européenne a refait part de ses ambitions concernant ces problématiques et a affirmé sa volonté d’imposer des règles plus strictes aux fabricants d’objets connectés. Déjà annoncé en 2021 par la présidente de la Commission Ursula von der Leyen, le projet de législation « Cyber Resilience Act » a pour but d’améliorer la protection contre les cyberattaques et donc, la cyberésilience.

À l’initiative de ce projet, le vice-président de la Commission Margaritis Schinas et le commissaire au Marché intérieur Thierry Breton. Pour ce dernier, les appareils connectés présents dans nos vies représentent chacun une faille sécuritaire potentielle.

Pourtant, « aujourd’hui, la plupart des produits matériels et logiciels ne sont soumis à aucune obligation en matière de cybersécurité », explique-t-il dans le communiqué de presse officiel de la Commission européenne. « En introduisant la cybersécurité dès la conception, l’acte législatif sur la cyberrésilience contribuera à protéger l’économie européenne et la sécurité de tous ».

En 2021, la cybercriminalité a coûté 5 500 milliards d’euros à l’échelle mondiale (Cybersecurity Ventures, chiffre cité dans le rapport «Cybersecurity – Our Digital Anchor, a European perspective», 2020).

Cybersécurité : une nouvelle législation en cours d’examen

Si l’avancée du projet de législation semble être une nouvelle positive, un long chemin reste encore à parcourir avant sa mise en application. Le Parlement européen et le Conseil de l’Union européenne ont des mois de négociation devant eux afin d’arriver à un compromis concernant le texte, ainsi que des règles pouvant être étendues à l’échelle de l’Europe.

À terme, le but est clair : forcer les fabricants à améliorer la cybersécurité de leurs produits, sous peine, entre autres, de ne pouvoir les commercialiser sur le territoire européen. Il leur faudra également être transparents et communiquer d’éventuelles failles sécuritaires sur leur marchandise. La règlementation concernera « tous les produits qui sont connectés directement ou indirectement à un autre appareil ou réseau », précise le communiqué de presse. Cela signifie qu’elle s’appliquera tout autant aux produits matériels que logiciels.

Que risqueront les fabricants qui ne respectent pas ces obligations ? Le texte prévoit à ce jour des amendes pouvant aller jusqu’à 15 millions d’euros ou, plus encore, représentant 2,5 % de leur chiffre d’affaires mondial. Margrethe Vestager, vice-présidente en charge du numérique à la Commission l’affirme, avec cette législation, les consommateurs auront « l’assurance que les objets et les logiciels connectés (qu’ils achètent) offrent des garanties solides en matière de cybersécurité ». « Cet acte fera peser la responsabilité sur ceux qui doivent l’assumer, c’est-à-dire ceux qui mettent les produits sur le marché », conclut-elle.

Une fois le texte adopté, chaque État membre devra nommer une autorité en charge de la surveillance du marché afin de veiller à la bonne application des règles. L’Agence européenne de cybersécurité, l’ENISA, devrait aussi participer et les accompagner pour s’assurer que la règlementation soit respectée.

Les fabricants et les États membres auront deux ans pour se conformer aux nouvelles règles.

Afin que les utilisateurs puissent profiter de leurs objets connectés dans un cadre sécurisé, le texte prévoit également d’obliger les fabricants à partager des mises à jour pour leurs produits durant au moins cinq ans. Celles-ci sont essentielles pour corriger d’éventuelles failles sécuritaires.