Les produits ménagers connectés à Internet devront bientôt être mieux protégés contre les cybermenaces après que les pays de l’Union européenne et les législateurs se soient mis d’accord jeudi sur une nouvelle législation.
Saluée comme une première mondiale, la loi dite Cyber Resilience Act s’appliquera aux appareils et logiciels du quotidien, notamment les babyphones, les montres intelligentes, les téléviseurs et les jeux vidéo, dans le but de protéger les consommateurs européens contre les cyberattaques et les ransomwares.
Toutes les entreprises qui mettent du matériel ou des logiciels sur le marché de l’UE devront prendre en compte la cybersécurité dès les premières étapes de la conception d’un produit et resteront responsables de la lutte contre les cybermenaces tout au long de son cycle de vie en mettant des mises à jour de sécurité à la disposition des utilisateurs.
Les entreprises seront également tenues de fournir des informations transparentes aux clients sur les cybersécurités d’un produit. S’ils ne s’y conforment pas, les autorités nationales pourront imposer de lourdes amendes ou retirer des produits du marché européen.
« La loi sur la cyber-résilience garantit une cybersécurité robuste des appareils numériques dans l’UE dès leur conception et tout au long de leur cycle de vie », a déclaré le commissaire européen au marché intérieur, Thierry Breton. dit sur la plateforme de médias sociaux X.
Les règles ont été présentées pour la première fois par la Commission européenne en octobre 2022, dans un contexte de recrudescence des cyberattaques et de craintes d’une vulnérabilité accrue suite à l’invasion de l’Ukraine par la Russie.
Selon les données de l’UE, les attaques contre la chaîne d’approvisionnement logicielle ont triplé au cours de l’année dernière, et une attaque par ransomware a lieu toutes les 11 secondes dans le monde.
Les règles permettront aux clients de déterminer plus facilement si les produits – des jouets aux réfrigérateurs en passant par les machines à laver – sont conformes aux normes européennes élevées en matière de cybersécurité. Les produits conformes porteront ce que l’on appelle le « marquage CE », tandis que les produits considérés comme présentant un risque de vulnérabilité élevé seront contrôlés par des tiers.
Lorsqu’une entreprise identifie un incident tel qu’une intervention malveillante, elle devra alerter les autorités nationales compétentes dans les 24 heures et fournir un rapport d’incident plus complet dans les 72 heures.
Les entreprises qui fabriquent au sein de l’UE et celles qui importent leurs produits de l’extérieur seront touchées, car le bloc vise à réprimer les menaces posées par des acteurs étrangers malveillants.
Les cercles européens craignent de plus en plus que les entreprises technologiques chinoises aident le gouvernement de Pékin à collecter des quantités de données sensibles à travers le monde et que ses services de renseignement se concentrent sur des cibles politiques, notamment à Bruxelles.
Alors que les préoccupations du bloc concernent principalement les services numériques et les technologies critiques et sensibles telles que les semi-conducteurs avancés et l’informatique quantique, la part croissante des appareils intelligents fabriqués en Chine sur le marché de l’UE a également fait craindre une vulnérabilité.
La loi sur la cyber-résilience ne s’appliquera pas aux logiciels fournis en tant que service, tels que les applications de traitement de texte basées sur le cloud, notamment Google Docs.