Le Parlement européen et le Conseil de l'Union européenne viennent de conclure un accord sur des règles visant à protéger les ordinateurs portables, les applications mobiles et les appareils intelligents connectés à Internet contre les cybermenaces, au travers du Cyber Resilience Act, dans un contexte d'attaques et de ransomwares qui se multiplient dans le monde entier ces dernières années.

Dès son entrée en vigueur en 2024, les fabricants, importateurs et distributeurs de matériel et de logiciels auront trois ans pour s'adapter aux exigences du règlement.

Paolo Passeri, Cyber Intelligence Specialist chez Netskope, explique pourquoi ce règlement est si important dans le contexte actuel et futur :

« La sécurisation des appareils connectés est un projet de grande envergure, car l’accélération de leur adoption a rapidement dépassé leurs capacités en matière de sécurité. L'absence de sécurité aux stades de la conception, du développement et de la production, ainsi que l'absence de mises à jour et de correctifs, ont rendu ces appareils très vulnérables aux cyberattaques ciblées.

Les acteurs malveillants trouvent chaque jour de nouveaux moyens d'infiltrer les appareils connectés, et cette tendance continuera de s’accélérer à mesure que l’IoT consolide sa présence dans les usages, à la fois professionnels et personnels.

Il est difficile de croire que ce secteur n'a pas eu à se conformer à une quelconque réglementation en matière de cybersécurité jusqu'à présent. Des normes de base pour sécuriser tous les appareils connectés, ainsi que des procédures d'évaluation de la conformité plus strictes pour les produits critiques, sont attendues depuis longtemps.

L'un des principaux problèmes de cybersécurité auxquels nous sommes confrontés aujourd'hui concerne la chaîne d'approvisionnement. Dans le secteur du retail, par exemple, l'une des principales menaces pour les utilisateurs est l'attaque MageCart.

Ce type de cyberattaque peut permettre de voler les informations bancaires sensibles des acheteurs en ligne, lorsqu'une page de paiement est compromise par l'exploitation d'une vulnérabilité qui permet aux attaquants d'insérer un code malveillant capable de voler les détails de la carte bancaire.

Ces risques devraient être atténués par la loi sur la cyber-résilience, car les solutions logicielles et matérielles devront se conformer à de multiples exigences de sécurité, telles que la sécurité dès la conception, l'obligation de tester une solution de sécurité avant de la mettre sur le marché, ou la divulgation de la découverte de nouvelles vulnérabilités.

Quel que soit le secteur, les organisations sont exposées à des vulnérabilités dès lors qu'elles utilisent des produits logiciels ou des appareils connectés, ce qui met en péril l'ensemble de l'écosystème, jusqu'aux consommateurs finaux.

La loi sur la cyber-résilience aura un coût de mise en conformité, mais elle réduira considérablement le risque de cyberattaques en comblant de nombreuses lacunes, avec des logiciels et des dispositifs connectés mieux sécurisés, et en responsabilisant les fabricants. Avec la multiplication des attaques ces derniers mois, la sécurité de la supply chain doit être une priorité pour les entreprises et les responsables de la sécurité.

C'est pourquoi le Cyber Resilience Act doit être considéré comme une véritable opportunité d'améliorer la cybersécurité à partir de la base, dans un effort collectif à travers l'Europe, plutôt que comme une nouvelle contrainte réglementaire. »