La loi sur la cyberrésilience (Cyber Resilience Act) représente une évolution majeure dans le domaine de la cybersécurité. Elle établit des obligations claires pour les fabricants de produits numériques, notamment en ce qui concerne l'intégration de la sécurité dès la conception (security by design). Pour obtenir le très convoité marquage CE, les futurs produits seront soumis à des exigences minimales de sécurité. La loi CRA aborde des aspects essentiels tels que la protection de l'accès, la confidentialité, l'intégrité et la disponibilité tout au long du processus de développement. Cet article se penche sur les défis et les opportunités générés par la loi CRA pour les fabricants et examine le rôle possible de la norme internationale CEI 62443 en tant qu'acteur clé dans ce contexte.
Avec la loi sur la cyberrésilience (CRA : Cyber Resilience Act), découvrez l'avenir de la cybersécurité pour les produits numériques – des directives claires, des normes plus strictes et une stratégie pionnière pour une ère numérique plus sûre.
La loi sur la cyberrésilience (CRA : Cyber Resilience Act) établit des directives claires pour les fabricants de produits numériques, qui sont désormais tenus de mettre en œuvre une stratégie de sécurité dès la conception (security by design). Pour obtenir le très convoité marquage CE, les produits soumis à la loi CRA devront à l'avenir remplir des exigences minimales de sécurité. Ce faisant, le texte de loi accorde une grande importance à des aspects tels que la protection de l'accès, la confidentialité, l'intégrité et la disponibilité, qui doivent être intégrés tout au long du processus de développement. En outre, la loi CRA réglemente la gestion des vulnérabilités ainsi que le délai dans lequel les fabricants sont tenus de fournir des mises à jour de sécurité.
L'objectif de la loi CRA est de renforcer la confiance en l'infrastructure numérique de l'Union européenne et d'accroître la compétitivité des entreprises européennes au niveau mondial. En tant que loi européenne, elle ne nécessite pas de transposition nationale et est entrée en vigueur dans toute l'UE le 10 décembre 2024.
La CEI 62443, en tant que norme internationale, joue un rôle clé, car elle couvre à la fois le processus de développement sécurisé requis de même que les exigences techniques pour les produits et les systèmes. En raison de cette concordance, la CEI 62443 pourrait servir de base prometteuse à une norme harmonisée reposant sur la loi CRA. Pour répondre aux exigences en matière de gestion des vulnérabilités, il faut disposer d'une nomenclature logicielle (SBOM : Software Bill of Material) pour tous les produits. Cette vue d'ensemble de tous les composants logiciels est essentielle. En outre, les vulnérabilités connues doivent être répertoriées au format numérique, par exemple en utilisant le Common Vulnerability Scoring System (CVSS).
La loi sur la cyberrésilience (CRA : Cyber Resilience Act) est une loi européenne concernant tous les produits avec des éléments numériques ayant des capacités de communication. La loi CRA s'applique à la fois au matériel et aux logiciels ; elle s'inspire du Nouveau cadre législatif (New Legislative Framework). Cette loi fixe des exigences contraignantes à respecter lors de la mise sur le marché de produits. Les produits qui répondent à ces règles portent un marquage CE.
Inversement, cela signifie que les produits non conformes ne peuvent plus être mis sur le marché. Elle s'applique cependant aussi aux produits existants, que le fournisseur ne peut alors plus vendre si les exigences en matière de cybersécurité ne sont pas remplies.
La loi CRA impose des exigences de sécurité claires aux produits, notamment la protection de l'accès, la protection de la confidentialité, l'intégrité, la disponibilité et un état à la livraison sûr. Pour garantir un processus de développement sûr, il convient de les prendre particulièrement en compte lors de la conception, du développement et de la fabrication.
Dans le cadre du processus de développement sécurisé, les fabricants doivent contrôler activement leurs produits pour détecter les vulnérabilités et y remédier immédiatement. Cette mise à jour de sécurité doit être fournie gratuitement et doit couvrir une période de cinq ans. En outre, la loi CRA introduit des obligations de signalement supplémentaires : les fabricants doivent immédiatement informer l'Agence européenne pour la cybersécurité (ENISA) s'ils ont connaissance de vulnérabilités activement exploitées ou d'attaques contre leurs produits susceptibles de compromettre la sécurité, par exemple en manipulant les zones de téléchargement.
Avant la mise sur le marché, le fabricant doit s'assurer que son produit est conforme aux normes prescrites. Cette évaluation dépend de la classification du produit concernant la criticité. Elle implique le respect des normes européennes ou un contrôle par une institution autorisée. Ce faisant, une attention particulière est accordée aux infrastructures critiques dans l'industrie. Dans ce contexte, il est nécessaire d'appliquer des normes harmonisées et/ou de coopérer avec une institution agréée.
La loi CRA permet aux utilisateurs de bénéficier de produits qui répondent à des normes de cybersécurité plus élevées et qui présentent moins de risques de piratage, de failles de sécurité ou d'autres dangers. De tels produits doivent porter le marquage CE, qui atteste de leur conformité aux nouvelles exigences.
Les fabricants sont également tenus d'assurer la maintenance des produits tout au long de leur cycle de vie et de proposer des mises à jour automatiques de sécurité. Les utilisateurs peuvent ainsi se fier aux garanties de cybersécurité offertes par les produits marqués CE.
Les fabricants sont confrontés au défi de garantir un processus de développement sûr et de mettre en œuvre des mesures de sécurité complètes avant la mise sur le marché. Cela implique des efforts supplémentaires, qui peuvent affecter les ressources et les temps de production. La nouvelle législation promet des avantages considérables pour les utilisateurs finaux, car elle relève le niveau de sécurité et minimise de manière significative les risques dans le domaine de la cybersécurité. Les fabricants sont toutefois confrontés à certains défis, qui nécessitent des efforts supplémentaires. Mais ces défis valent la peine d'être relevés, car les infractions peuvent amener les autorités à exiger des améliorations ou des rappels de produits ainsi qu'à infliger des amendes pouvant atteindre 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial.
Il existe cependant des raisons d'espérer, car les exigences de base, telles que définies par la loi CRA, correspondent au processus de développement sécurisé selon la norme CEI 62443-4-1 et aux spécifications fonctionnelles selon la norme CEI 62443-4-2. Il est donc recommandé d'appliquer la norme CEI 62443.
Le coup d'envoi a été donné. Le moment est venu de mettre en place des mesures et de se préparer ensemble. La loi sur la cyberrésilience (CRA : Cyber Resilience Act) a été officiellement promulguée le 10 décembre 2024. D'ici le 11 septembre 2026, tous les produits devront disposer d'un système de gestion des vulnérabilités conforme. À partir du 11 décembre 2027, la loi CRA devra intégralement être mise en œuvre et tous les produits concernés devront satisfaire aux exigences pour obtenir le marquage CE.
Il est désormais temps d'agir pour répondre aux nouvelles normes de sécurité et assurer votre compétitivité.
Notre concept complet de sécurité à 360°
Chez Phoenix Contact, nous misons sur une approche globale de la sécurité à 360°, qui intègre des produits sûrs comme élément central. Le développement de produits sûrs s'effectue conformément aux normes de la CEI 62443-4-1, tandis que les exigences relatives aux fonctions de sécurité sont respectées conformément à la CEI 62443-4-2. L'équipe PSIRT (Product Security Incident Response Team) est responsable du traitement efficace des vulnérabilités.
Grâce à cette stratégie, le groupe Phoenix Contact est bien positionné pour répondre aux nouvelles exigences légales. De plus, nous proposons à nos clients des solutions d'application et des services sécurisés. La certification indépendante par l'organisation TÜV SÜD confirme le respect des processus de cybersécurité selon la norme CEI 62443.
