Les temps sont durs pour les pirates informatiques – Partie 1 : Principes réglementaires de base

Auteur : Gerhard Stelzer

Selon la Commission européenne, une attaque par ransomware se produit quelque part dans le monde toutes les 11 secondes. On estime que ces attaques par ransomware ont entraîné à elles seules des coûts de 20 milliards d’euros à l’échelle mondiale en 2021. Selon Statista (institut allemand indépendant d’études de marché), le volume annuel mondial des dommages causés par la cybercriminalité devrait atteindre environ 10 000 milliards de dollars en 2025 (Figure 1). Dans le même temps, on estime que les cybercriminels auront lancé environ 10 millions d’attaques DDoS (Distributed Denial of Service) d’ici là.

La Commission européenne souhaite rendre l’Europe plus résiliente et plus sûre face aux cyberattaques et a adopté à cette fin le « règlement sur la cyberrésilience » (CRA). Le CRA est la première législation européenne de ce type à établir des règles communes de cybersécurité pour les fabricants et les développeurs de produits comportant des « éléments numériques » (matériels et logiciels). 

Le règlement sur la cyberrésilience vise à garantir que

• les produits câblés et sans fil sur le marché de l’UE qui sont connectés à Internet, ainsi que les logiciels, deviennent plus sûrs ;
• les fabricants restent responsables de la cybersécurité de leurs produits tout au long de leur cycle de vie ;
• les consommateurs soient correctement informés de la cybersécurité des produits qu’ils achètent et utilisent.

Risques liés à la cybersécurité

Les cyberattaques peuvent se propager au-delà des frontières du marché unique de l’UE en quelques minutes. Le CRA affronte donc deux problèmes :

1. Le faible niveau de cybersécurité de nombre de ces produits et, plus important encore, le fait que de nombreux fabricants ne fournissent pas de mises à jour pour éliminer les vulnérabilités de sécurité. Si les fabricants de produits contenant des éléments numériques peuvent parfois voir leur réputation entachée si leurs produits ne sont pas sécurisés, les coûts des failles de sécurité sont principalement supportés par les utilisateurs professionnels et les consommateurs. D’une part, cela limite les incitations des fabricants à investir dans la conception et le développement de produits sécurisés et à fournir des mises à jour de sécurité.
2. D’autre part, les entreprises et les consommateurs manquent souvent d’informations suffisantes et précises lorsqu’il s’agit de choisir des produits sûrs. Enfin, ils ne savent souvent pas comment s’assurer que les produits qu’ils ont achetés sont configurés de manière sécurisée.

Le nouveau règlement aborde ces deux aspects en mettant l’accent sur la question des mises à jour et en fournissant des informations actualisées aux clients.

Principes du règlement sur la cyberrésilience

Le règlement sur la cyberrésilience stipule que les produits comportant des éléments numériques ne peuvent être mis sur le marché que s’ils satisfont à certaines exigences de base en matière de cybersécurité. Il impose aux fabricants de prendre en compte la cybersécurité dans la conception et le développement des produits comportant des éléments numériques.

En ce qui concerne les informations et les instructions destinées à l’utilisateur final, le règlement sur la cyberrésilience exige des fabricants qu’ils fassent preuve de transparence concernant les aspects de cybersécurité qui doivent être communiqués aux clients. 

Un aspect clé de la proposition est que l’ensemble du cycle de vie du produit est couvert, en particulier l’obligation pour les fabricants et les développeurs de définir une période d’assistance couvrant la durée de vie prévue du produit et de fournir des mises à jour de sécurité au cours de cette période.

Ces obligations s’appliquent aux opérateurs économiques, qu’il s’agisse de fabricants, de distributeurs ou d’importateurs, lorsqu’ils mettent sur le marché des produits comportant des éléments numériques.

Sur la base du nouveau cadre juridique pour la législation sur les produits dans l’UE, les fabricants seront soumis à une procédure d’évaluation de la conformité pour démontrer qu’ils respectent les exigences établies pour un produit.

Cette évaluation peut se faire par auto-évaluation ou par une évaluation de la conformité par un tiers, en fonction du risque associé au produit en question.

Une fois que la conformité du produit aux exigences applicables a été vérifiée, le fabricant et le développeur émettent une déclaration de conformité de l’UE et peuvent apposer le marquage CE. Le marquage CE indique que les produits comportant des éléments numériques sont conformes au règlement sur la cyberrésilience, ce qui leur permet d’être distribués librement au sein du marché unique.

Le règlement sur la cyberrésilience a été publié au Journal officiel de l’UE en novembre 2024 et devrait devenir obligatoire à partir de décembre 2027. D’ici là, la directive de l’UE relative aux équipements radioélectriques (RED) vas être étendue pour inclure des aspects de cybersécurité afin d’améliorer la cybersécurité, au moins en ce qui concerne les équipements radioélectriques. Plus d’informations ci-dessous.

Avantages du règlement sur la cyberrésilience

Le règlement sur la cyberrésilience bénéficiera de manière significative aux différentes parties prenantes. Les entreprises ne devront bientôt plus se conformer qu’à un seul ensemble de réglementations en matière de cybersécurité dans l’ensemble de l’UE.

La législation réduira le nombre d’incidents de cybersécurité, les coûts de gestion des incidents et les atteintes à la réputation des entreprises. Elle renforcera la confiance des consommateurs et des clients professionnels dans les entreprises et les produits, ce qui augmentera la demande de produits comportant des éléments numériques, tant à l’intérieur qu’à l’extérieur de l’UE.

Dans le même temps, lorsqu’ils choisiront un produit contenant des éléments numériques, les consommateurs et les utilisateurs bénéficieront de plus d’informations et d’instructions plus claires sur la manière de l’utiliser. Grâce à la diminution des risques et des incidents de sécurité, les consommateurs et les citoyens bénéficieront d’une meilleure protection des droits fondamentaux, tels que la protection des données et de la vie privée.

Le règlement sur la cyberrésilience a également le potentiel de devenir une référence internationale au-delà du marché unique de l’UE. Les normes législatives de l’UE faciliteront sa mise en œuvre et constitueront un avantage pour les fabricants européens sur les marchés mondiaux.

Produits non conformes

Les États membres doivent nommer des autorités de surveillance du marché chargées de faire respecter les obligations prévues par le règlement sur la cyberrésilience.

En cas de non-conformité, les autorités de surveillance du marché peuvent exiger des opérateurs qu’ils remédient à la non-conformité et éliminent le risque. Elles peuvent interdire ou restreindre la disponibilité d’un produit sur le marché ou ordonner son retrait ou son rappel. Chacune de ces autorités sera en mesure d’imposer des amendes aux entreprises qui ne respectent pas la réglementation. Le CRA fixe des plafonds pour les amendes prévues par les législations nationales en cas de non-conformité.

Interaction avec d’autres règles

Le règlement sur la cyberrésilience vise à harmoniser le paysage réglementaire de l’UE en introduisant des exigences de cybersécurité pour les produits comportant des éléments numériques et en évitant le chevauchement des exigences découlant de différentes réglementations juridiques. Il en résulte une plus grande sécurité juridique pour les opérateurs et les utilisateurs dans toute l’UE, ainsi qu’une meilleure harmonisation du marché unique européen, ce qui améliore les conditions pour les opérateurs souhaitant entrer sur le marché de l’UE.

Le règlement sur la cyberrésilience servira de complément précieux à la directive NIS2 (deuxième directive sur les réseaux et les systèmes d’information), récemment adoptée par le Parlement européen et le Conseil. La directive NIS2 introduit des exigences en matière de cybersécurité, notamment des mesures de sécurité dans la chaîne d’approvisionnement et des obligations de notification pour les entités essentielles et importantes, afin de renforcer la résilience des services qu’elles fournissent.

Un niveau de cybersécurité plus élevé pour les produits comportant des éléments numériques permettrait aux entités couvertes par la directive NIS2 de se conformer plus facilement à la réglementation et renforcerait la sécurité de l’ensemble de la chaîne d’approvisionnement.

Le règlement sur la cyberrésilience s’applique également aux équipements radioélectriques qui relèvent du champ d’application du règlement délégué en vertu de la directive 2014/53/UE relative aux équipements radioélectriques. Le CRA est aligné sur les exigences du règlement délégué de la RED, y compris les normes spécifiques requises.

Directive relative aux équipements radioélectriques 2014/53/UE (RED)

Les appareils et jouets intelligents, les caméras intelligentes et une série d’autres appareils radio connectés, tels que les téléphones cellulaires, les ordinateurs portables, les dongles, les systèmes d’alarme et les systèmes domotiques, sont des exemples d’appareils qui présentent un risque de piratage et d’atteinte à la vie privée lorsqu’ils sont connectés à Internet. En outre, les dispositifs radio portables (bagues, bracelets, clips de poche, casques, trackers de fitness, etc.) peuvent surveiller et enregistrer une série de données sensibles sur une période prolongée (localisation, température, pression artérielle, fréquence cardiaque, etc.) Ces données peuvent être transmises non seulement par Internet, mais aussi par des technologies de communication à courte portée non sécurisées. La directive 2014/53/UE relative aux équipements radioélectriques (RED) établit un cadre juridique pour la mise sur le marché unique des équipements radioélectriques (Figure 2). Elle concerne les conditions obligatoires d’accès au marché pour les équipements radioélectriques, la conformité d’un produit à la RED est requise pour le marquage CE. La RED s’applique aux appareils électriques et électroniques qui peuvent utiliser le spectre des fréquences à des fins de communication et/ou de radio. Les États membres (EM) prennent des mesures correctives pour les équipements radio non conformes par l’intermédiaire de leurs autorités nationales de surveillance du marché.

L’article 3 de la RED définit les exigences essentielles auxquelles doivent satisfaire les équipements radioélectriques mis sur le marché de l’UE. L’article 3(1)(a), énonce les exigences essentielles en matière de santé et de sécurité, l’article 3(1)(b), les exigences essentielles en matière de compatibilité électromagnétique, et l’article 3(2), les exigences essentielles en matière d’utilisation effective et efficace du spectre radioélectrique. En outre, l’article 3(3), énonce des exigences essentielles supplémentaires qui s’appliquent aux catégories ou classes d’équipements radioélectriques spécifiées dans les actes délégués pertinents de la Commission.

Nouvelles règles de cybersécurité en vigueur à partir d’août 2025

L’article 3(3) de la RED définit désormais les nouvelles exigences de cybersécurité pour les équipements radioélectriques. Cela concerne les trois points suivants du deuxième alinéa de l’article 3(3) (Figure 3) :

• 3(3)(d) assurer la protection du réseau
• 3(3)(e) garantir la protection des données personnelles et de la vie privée
• 3(3)(f) pour assurer la protection contre la fraude

La nouvelle série de normes EN 18031 sur la cybersécurité des équipements radio apporte une aide à la mise en œuvre des exigences de cybersécurité de la directive sur les équipements radioélectriques (RED).

EN 18031 - Cybersécurité des équipements radioélectriques

L’introduction de nouvelles exigences par le biais du règlement délégué 2022/30 de la directive 2014/53/UE relative aux équipements radioélectriques présente des défis importants pour l’industrie. La nouvelle série EN 18031 - composée des normes EN 18031-1, EN 18031-2 et EN 18031-3 - a pour but d’aider les fabricants à démontrer la conformité de leurs produits aux exigences plus strictes. À partir du 1er août 2025, les appareils concernés devront répondre à ces exigences (Figure 4).

La norme EN 18031 spécifie les exigences de la directive relative aux équipements radioélectriques en matière de cybersécurité et comprend trois parties :

• La norme EN 18031-1 couvre les équipements radioélectriques dotés d’une connectivité à Internet. La partie 1 de cette norme définit les procédures et conditions d’essai permettant d’évaluer la conformité des équipements radioélectriques connectés à Internet avec l’article 3(3)(d) de la RED. Cet article stipule que les équipements radioélectriques ne doivent pas avoir d’effets nuisibles sur les réseaux ou leur fonctionnement.
• La norme EN 18031-2 traite des équipements radioélectriques qui traitent des données. Selon la partie 2 de la norme, les équipements radioélectriques traitant des données sont testés au regard de l’article 3(3)(e) de la RED pour la protection des données à caractère personnel.
• La norme EN 18031-3 traite des équipements radioélectriques qui traitent de l’argent virtuel ou des valeurs monétaires. Elle définit les procédures d’essai pour l’article 3(3)(f) de la RED, qui testent les fonctions de protection contre la fraude.

La série de normes EN 18031 a été soumise à la Commission européenne pour examen et harmonisation par le CENELEC (Comité européen de normalisation électrotechnique), en octobre 2024. 

Principes de la norme EN 18031

La norme EN 18031 fournit un cadre complet et flexible pour la sécurité des équipements radioélectriques. Elle tient compte de la complexité et de la diversité des appareils modernes et fournit aux fabricants des lignes directrices claires pour la mise en œuvre de mesures de sécurité robustes. Le portail du règlement sur la cybersécurité en donne un aperçu concis. La norme EN 18031 a été élaborée par le CENELEC au nom de l’UE et soumise à la Commission européenne pour examen en octobre 2024. Tant que l’harmonisation de la norme n’est pas achevée, les produits doivent toujours être certifiés par des organismes notifiés accrédités.

Selon le règlement sur la cybersécurité, les principes pertinents sont les suivants :

• Sécurité par conception : Les aspects liés à la sécurité doivent être pris en compte dès le processus de développement.
• Analyse structurée des menaces : La norme EN 18031 recommande l’utilisation du modèle STRIDE. Ce modèle aide les fabricants à réfléchir systématiquement aux menaces potentielles en considérant six catégories principales de menaces : usurpation d’identité (Spoofing), falsification (Tampering), répudiation (Repudiation), divulgation d’informations (Information disclosure), déni de service (Denial of service) et élévation de privilèges (Elevation of privilege).
• Catégorisation des mesures de sécurité : La norme répartit les exigences de sécurité en cinq catégories principales :
  – Identification : Reconnaître les risques de sécurité
  – Protection : Prévenir ou limiter les incidents de sécurité
  – Détection : Tracer les incidents de sécurité
  – Réaction : Agir de manière appropriée face aux incidents identifiés
  – Récupération : Restauration après un incident de sécurité
• Assets : La norme introduit le terme « assets » pour définir les principaux objectifs des mesures de sécurité. Il s’agit des actifs du réseau, des actifs de sécurité, des actifs de protection des données et des actifs financiers. Cette approche aide les fabricants à développer des mesures de protection ciblées pour les parties les plus importantes de leur produit.
• Mécanismes : La norme utilise des « mécanismes » pour répondre à des exigences de sécurité spécifiques. Cette approche permet d’appliquer les exigences de manière flexible à différents types d’appareils et de scénarios de déploiement.
• Méthodes d’évaluation pratiques : La norme fournit des outils spécifiques pour évaluer la conformité :
  – Les arbres de décision permettent de déterminer si des exigences spécifiques sont applicables
  – Les spécifications relatives à la documentation technique indiquent les informations que les fabricants doivent fournir
  – Des lignes directrices pour les tests de sécurité indiquent comment la mise en œuvre des exigences peut être vérifiée

La norme EN 18031 a pour objectif général de fournir une approche équilibrée et pratique pour améliorer la sécurité des équipements radioélectriques. La norme reconnaît qu’il n’existe pas de solution unique pour tous les appareils et fournit plutôt un cadre dans lequel les fabricants peuvent développer les mesures de sécurité appropriées pour leurs produits spécifiques.

Gerhard Stelzer a étudié l’électrotechnique et les technologies de l’information à l’université technique de Munich, où il a obtenu un diplôme d’ingénieur. Il a ensuite travaillé au développement de la technologie de communication optique à grande vitesse chez Siemens AG et s’est tourné vers le journalisme technique en 1995, en travaillant pour la publication « Elektronik ». Depuis 2021, il est rédacteur technique principal chez Würth Elektronik eiSos.

Jan Norder et Pascal Baranger, de Würth Elektronik, prendront la parole lors du Evertiq Expo de Cracovie le 28 mai 2025, et donneront une présentation intitulée "Assurer l'avenir : naviguer dans les réglementations en matière de cybersécurité dans l'IoT". Vous vous intéressez à la cybersécurité ? Cette année, le salon polonais sera principalement axé sur la cybersécurité et la sécurité en général. Les inscriptions pour l'événement sont déjà ouvertes.