L’UE à l’heure de la cybersécurité réglementée  

 

La Commission européenne a fait de la cybersécurité sa principale priorité pour une Europe numérique et connectée. L’adoption prochaine du Cyber Resilience Act représente un exemple manifeste de cet engagement.

Olaqin a participé au premier rendez-vous Cyber Resilience Act, organisé par la société Moabi au sein de l’incubateur valbonnais Village by CA, qui s’est tenu le 13 octobre à Sophia-Antipolis.

Cet événement a permis de rassembler des entités influentes telles que l’ENISA – agence européenne de cybersécurité – et des acteurs français de la sécurité pour discuter des implications de cette réglementation, enrichissant la rencontre d’une perspective légale et sociale sur le sujet. Le CRA, qui concernera les entreprises de l’UE fournissant des produits matériels et logiciels, comporte encore des interrogations quant à son application.

Points clés du Cyber Resilience Act – Comprendre le CRA

Le projet de réglementation CRA répond à deux problématiques majeures :

  • Le coût annuel des cyberattaques, évalué à environ six mille milliards d’euros par an sur les matériels et logiciels est en constante augmentation,
  • Une majorité de produits commercialisés dans l’Union européenne présente un niveau de sécurité insuffisant, ainsi que des informations peu claires qui empêchent les consommateurs de faire des choix éclairés concernant leur protection.

Le CRA est la toute première législation européenne portant sur la cyber résilience. La loi introduit auprès des entreprises européennes des exigences en matière de sécurité informatique pour les produits comportant des éléments numériques.

Mais qu’est-ce que la cyber résilience, beaucoup moins connue que la cybersécurité ?

La cyber résilience englobe l’entièreté de la sécurisation numérique, de façon holistique, pourrions-nous dire ! Elle s’articule autour de deux axes principaux : faire face aux menaces, en adoptant une démarche préventive et non plus seulement curative, et savoir relancer rapidement une production de services en cas d’attaque informatique aboutie.

L’ambition de la Commission européenne est donc de veiller au développement de produits numériques moins vulnérables. Elle désire également s’assurer que la sécurité soit considérée comme une priorité par les fabricants et éditeurs à chaque étape du cycle de vie d’un produit.

Amélioration continue durant le cycle de vie, maintien d’un cadre cohérent de sécurité, amélioration de la transparence des propriétés de sécurité, et utilisation « en toute sécurité » des produits numériques sont les objectifs spécifiques de cette loi.

Le Cyber Resilience Act, un engagement à préparer dès maintenant

Avec les États membres de l'UE ayant récemment adopté une position commune sur les exigences du CRA en juillet, cette réglementation devient une réalité de plus en plus concrète. 
À l’entrée en vigueur du Cyber Resilience Act, les entreprises auront un délai de deux ans pour se conformer aux nouvelles normes, et d’un an pour signaler les failles de sécurité et les incidents.  

Le non-respect de ces règles entraînera des amendes allant jusqu'à 15 millions d’euros ou 2,5 % du chiffre d'affaires annuel mondial global de l’entreprise contrevenante. 

 La mise en application du CRA est donc un impératif pour toute société évoluant dans le domaine numérique. 

Il est alors crucial d’en commencer les préparatifs dès maintenant ! 

Décrypter le Cybersecurity Resilience Act : ce que chaque entreprise doit savoir

Objectifs et portée du CRA :

Le CRA a pour ambition de responsabiliser les industriels, les éditeurs de logiciels, et les fournisseurs de service dans la commercialisation de services et produits numériques plus sûrs.

Cela implique moins de vulnérabilités, des cycles garantis de mise à niveau de sécurité et une meilleure transparence sur la sécurité réelle de ces produits et services.

La sécurité informatique devient, de facto, une obligation et donc un élément intrinsèque et non négociable de la conception d’un produit, tout comme le recyclage ou la conformité électrique le sont depuis longtemps.

Les six obligations du Cybersecurity Resilience Act :

  • Intégration de la cybersécurité dans tout le cycle de vie du produit : design, développement, production, livraison et maintenance,
  • Documentation exhaustive des risques de cybersécurité,
  • Divulgation obligatoire des incidents et des vulnérabilités,
  • Assurance d’un traitement efficace des vulnérabilités pendant la durée de vie du produit une fois vendu,
  • Clarté et compréhension des instructions de sécurité pour l’utilisateur,
  • Disponibilité des mises à jour de sécurité pendant une période minimale de cinq ans.

Le CRA définit trois classes de produit :

La catégorie par défaut, qui concerne 90% des solutions numériques, n’exige que de l’auto-évaluation. Il s’agit par exemple de solutions aussi variées que des logiciels d’édition de photo, des enceintes connectées, des disques durs et des consoles de jeu vidéo. Les deux autres catégories, critiques, comprennent 10% des solutions et produits, et sont rangées en deux classes :

  • Classe 1 : nécessite l’application d’un standard de sécurité ou une évaluation réalisée par un tiers extérieur. Exemples : gestionnaires de mots de passe, firewalls, microcontrôleurs,
  • Classe 2 : demande l’évaluation obligatoire par une tierce personne. Exemples : OS, puces pour “secure elements”.

Cette classification est basée principalement sur des fonctionnalités spécifiques et la catégorie d’utilisation prévue du produit. (Par exemple du secteur d’activité soumis à NIS2)

L’importance du CRA pour les utilisateurs et les entreprises de santé

Le marché de la santé en France est déjà soumis à de fortes contraintes de sécurité. Si l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) assure la mission d’autorité nationale en matière de sécurité des systèmes d’information, d’autres organismes concourent à la mise en place de cadres d’application de la sécurité dans le domaine spécifique de la santé tels que :

  • La DNS (Délégation Numérique en Santé) qui assure le pilotage de l’ensemble des chantiers du numérique en santé,
  • Les ARS (Agence Régionale de Santé) qui supervisent l’application territoriale de la politique de sécurité numérique en santé.
  • L’ANS (Agence du Numérique en Santé) qui accompagne et accélère la transformation numérique du système de santé aux côtés des différents acteurs du secteur.

Actuellement, le CRA ne comporte pas de volet spécifique dédié à la santé. Cependant, en Europe, les dispositifs médicaux sont soumis à des processus d’évaluation et de certification distincts. À cet égard, l’ANSM (Agence Nationale de Sécurité du Médicament) propose 68 recommandations de sécurité détaillées pour ces dispositifs.

Les équipements et systèmes destinés à l’édition de feuilles de soins électroniques via les cartes Vitale et CPS (Carte Professionnel de Santé) sont soumis à des homologations et agréments définis par le GIE SESAM-Vitale. Ces homologations et agréments, en vigueur depuis 25 ans, exigent la production de dossiers de sécurité déclaratifs conformes aux exigences formulées dans les référentiels techniques.

Les entreprises françaises de la santé sont donc déjà fortement sensibilisées aux enjeux de la sécurité ; ceci faisant partie intégrante de leur culture d’entreprise. Nul doute alors qu’elles auront en main toutes les cartes pour répondre aux exigences imposées par le Cyber Resilience Act.