Cybersécurité dans l’IoT : Obligatoire à partir d’août 2025

Pourquoi la cybersécurité est-elle si importante ?

« Aujourd’hui, nous avons tous un téléphone, un ordinateur, une montre, tout est connecté à Internet. Même un micro-ondes, une machine à café, un lave-vaisselle ou une télévision peuvent désormais être en ligne », a déclaré Pascal Baranger de Würth Elektronik. Aux côtés de Jan Norder, Baranger a pris la parole lors de l’édition 2025 de l’Evertiq Expo à Cracovie pour discuter des prochaines évolutions de la réglementation européenne en matière de cybersécurité pour l’Internet des objets (IoT).

Comme l’ont souligné les représentants de Würth Elektronik, le nombre d’appareils connectés augmente chaque année, tout comme le coût de la cybercriminalité. D’ici 2025, les pertes mondiales liées aux cyberattaques devraient dépasser les 10 000 milliards d’euros.

Les intervenants ont rappelé un incident tristement célèbre survenu en 2017 à Las Vegas, où des pirates informatiques avaient accédé au réseau d’un casino via un capteur d’aquarium mal sécurisé.

« Comme nous aimons le dire, un système n’est sécurisé que jusqu’à son maillon le plus faible », a ajouté Norder.

Nouvelles réglementations de l’UE : RED et Cyber Resilience Act

La présentation s’est concentrée sur deux réglementations clés de l’UE : la directive sur les équipements radio (RED) et le Cyber Resilience Act. Toutes deux visent à rehausser le niveau de cybersécurité des appareils connectés à Internet.

À partir du 1er août 2025, la directive RED exigera que tous les équipements radio vendus dans l’UE respectent trois nouvelles exigences en matière de cybersécurité (articles 3.3 D à F) :

• 3.3 D : Protection du réseau
• 3.3 E : Protection des données personnelles
• 3.3 F : Protection contre la fraude

« À compter de cette date, tout appareil connecté par radio introduit sur le marché de l’UE devra répondre à ces exigences. Ce n’est pas une suggestion, c’est une obligation légale », a insisté Baranger.

Le Cyber Resilience Act, qui doit entrer en vigueur en décembre 2027, va encore plus loin. Il étend les obligations de cybersécurité à une gamme plus large de produits et services. Il exigera des évaluations des risques à chaque étape du cycle de vie du produit, une atténuation rapide des vulnérabilités, ainsi que des mises à jour de sécurité régulières.

Les intervenants ont également souligné que l’UE fait figure de leader mondial en matière de réglementation sur la cybersécurité. « Aux États-Unis, seuls deux États — la Californie et l’Oregon, disposent de lois similaires. En Afrique, aucune », a précisé Norder.

Cet écart réglementaire pourrait constituer une menace sérieuse, en excluant potentiellement les exportateurs de certains pays du marché européen si leurs produits ne disposent pas des protections nécessaires.

De la théorie à la pratique

Comment savoir si un appareil est concerné par les nouvelles règles ? Les représentants de Würth Elektronik ont présenté un arbre de décision disponible dans les normes européennes EN 18031-2 et EN 18031-3. Ces normes, publiées en janvier 2025 (et disponibles pour environ 420 € chacune), peuvent être utilisées comme guides d’implémentation à usage répété.

« C’est comme une checklist », a expliqué Baranger. « Si votre appareil se connecte à Internet et traite ou stocke des données personnelles ou financières, vous devez mettre en place un niveau de protection adéquat, le démontrer et le documenter. »

À titre d’exemple, les intervenants ont évoqué un talkie-walkie qui ne se connecte pas à Internet et ne traite aucune donnée personnelle : il ne serait pas concerné par les nouvelles règles. Mais un Raspberry Pi utilisé dans une maison connectée ? Absolument. « Même s’il s’agit simplement d’une application pour interrupteur de lumière, si elle contient l’adresse e-mail d’un utilisateur, elle est soumise à l’article 3.3 E », a précisé Baranger.

Et si vous manquez de temps ?

Les normes ont été publiées en janvier 2025, laissant aux entreprises seulement quelques mois pour s’adapter. « Dans de nombreux pays, même en Allemagne, les fabricants sont surpris. En Bulgarie, beaucoup n’avaient même jamais entendu parler de ces changements », a indiqué Norder.

Les tests de conformité en laboratoire sont déjà difficiles à obtenir en raison de la forte demande et du manque de disponibilité. « Vous pouvez encore lancer un produit avant le 1er août, moment où les nouvelles règles ne s’appliqueront pas. Mais ensuite ? », se sont interrogés les intervenants.

Pour accompagner les industriels, Würth Elektronik a présenté ses solutions orientées cybersécurité. Ses modules Wi-Fi et Bluetooth Low Energy permettent :

• Le démarrage sécurisé (secure boot)
• Le stockage sécurisé des données
• Des connexions sécurisées
• Des mises à jour à distance (OTA) avec vérification de sécurité

L’entreprise a également présenté sa solution phare, le module Cordelia 1, développé en partenariat avec Crypto Quantique. Son système QuarkLink permet un approvisionnement sans contact, une méthode entièrement automatisée d’insertion des mots de passe et données de configuration de manière sécurisée, sans intervention humaine. « Pas d’intermédiaire, pas de risque d’exposition des mots de passe », a souligné Baranger.

Pour les fabricants d’objets connectés en Europe, l’échéance finale est arrivée. Le prix du retard ? Une possible exclusion du marché européen.

« La cybersécurité n’est plus un luxe, c’est comme la ceinture de sécurité dans une voiture. À partir du 1er août, elle sera obligatoire », ont conclu les intervenants.

Jan Norder et Pascal Baranger de Würth Elektronik sont intervenus lors de la conférence organisée à l’occasion de l’Evertiq Expo Cracovie 2025. La prochaine édition de ce salon de référence pour l’industrie électronique en Pologne aura lieu le 7 mai 2026 au CKF13, rue Fabryczna, Cracovie. Réservez dès maintenant votre place.