Adoption du Règlement sur la cyberrésilience (" CRA ") : qu'est-ce que cela change pour les entreprises commercialisant des produits comportant des éléments numériques ?
Les objets connectés n'étaient jusqu'ici pas soumis à un cadre juridique établissant des normes de sécurité. Le CRA a été adopté le 10 octobre 2024 afin de remédier à cette situation.
Les objets connectés nous entourent : montres intelligentes, ordinateurs, jeux vidéo, jouets, etc. Jusqu'à présent, ces appareils n'étaient pas soumis à un cadre juridique général établissant des normes de sécurité spécifiques. Cette situation facilite les cyberattaques et a des répercussions sur la sécurité, sur la vie privée et sur la santé des consommateurs de l’Union Européenne ("UE"). En effet, ce type de produits fait de plus en plus l’objet de cyberattaques réussies, entraînant un coût annuel de la cybercriminalité estimé à 5.5 milliards d’euros pour la zone Europe en 2023 (La lutte contre la cybercriminalité : une priorité pour l’Europe).
C'est dans ce cadre que la Commission européenne a montré une grande ambition : fournir un socle commun de règles applicables aux objets connectés à travers le « Cyber Resilience Act » (le « CRA » ou le « Règlement »).
Le CRA est un projet de longue haleine : annoncé pour la première fois par la présidente de la Commission, Ursula von der Leyen, dans son discours sur l'état de l'Union en septembre 2021, le CRA a donné lieu à une proposition de loi sur la cyberrésilience le 15 septembre 2022. Le Règlement a finalement été adopté par le Conseil européen le 10 octobre 2024.
Il vient compléter les directives NIS 2 et DORA ainsi que l’IA act en renforçant la cyberrésilience des produits comportant des éléments numériques.
Quels sont les objectifs du CRA?
Le législateur avait fait le constat de deux problèmes majeurs entourant le commerce des produits à composant numérique :
- Le premier est le niveau inadéquat de cybersécurité inhérent à de nombreux produits (à la conception et / ou en termes de mises à jour de sécurité de ces produits et logiciels).
- Le second est l’actuelle incapacité des consommateurs et des entreprises à déterminer quels produits sont cybersécurisés (ou à les configurer aisément de manière à garantir la protection de leur cybersécurité).
Afin de résoudre ces deux apories et d’assurer une meilleure protection des consommateurs ainsi que d’accroitre leur confiance dans les produits commercialisés dans l’espace de l’Union Européenne, le CRA s’attache à garantir :
1 – la mise en place de règles harmonisées lors de la mise sur le marché de produits ou de logiciels comportant un composant numérique ;
2 - un cadre d’exigences imposées aux entreprises en matière de cybersécurité régissant la planification, la conception, le développement et la maintenance de ces produits, avec des obligations à respecter à chaque étape de la chaîne de valeur ;
3 - une obligation de diligence pour l'ensemble du cycle de vie de ces produits.
Champ d'application du CRA et définition d'un « produit comportant des éléments numériques »
Le CRA définit un « produit comportant des éléments numériques » comme un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément (Article 3, paragraphe 1, du CRA).
Par ailleurs, le Règlement définit un « traitement de données à distance » comme « tout traitement de données à distance pour lequel le logiciel est conçu et développé par le fabricant ou sous la responsabilité de ce dernier, et dont l’absence empêcherait le produit comportant des éléments numériques d’exécuter une de ses fonctions » (Article 3, paragraphe 2, du CRA).
En d’autres termes, Le CRA s'appliquera donc aux produits logiciels et matériels qui sont connectés, directement ou indirectement, à un autre appareil ou à un réseau (avec des exceptions pour les appareils médicaux, les produits des secteurs de l'aéronautique et de l'automobile qui ne seront pas concernés, ceux-ci étant déjà soumis à d'autres réglementations en vigueur). Il couvre ainsi une vaste gamme de produits connectés, de l'électronique grand public aux systèmes industriels complexes.
A titre d’exemple, les systèmes d'exploitation dans leur ensemble rentrent dans le champ d’application du CRA (smartphones, ordinateurs, routeurs et objets connectés dans la maison). Les composants (matériels et logiciels) constituent aussi un bon exemple de typologie de produits concernés par le CRA (unités de traitement informatique, cartes vidéo, bibliothèques de logiciels…).
Un Règlement ayant une portée extraterritoriale
Le CRA a une portée extraterritoriale. Ainsi :
- Tous les fabricants, établis en UE ou ailleurs, devront respecter les exigences du CRA dès lors qu’ils commercialiseront leurs produits sur le marché de l’Union Européenne. Par exemple, un développeur d’application asiatique ou nord-américain devra se conformer aux obligations du CRA s’il souhaite commercialiser son ou ses produits sur le marché européen.
- Les distributeurs ou importateurs de ces produits seront eux aussi tenus de se conformer aux obligations mises en place par le CRA.
L’histoire juridique récente, et notamment la genèse et la gestation du RGPD, laissent à penser que le CRA constitue une belle opportunité commerciale et un différenciateur marché pour les entreprises européennes commercialisant ce type de produits. Il y a fort à parier que leurs concurrents nord-américains seront réfractaires à cette norme, comme ils ont pu l’être au RGPD il y a quelques années, et que la conformité au CRA sera un fort argument marketing vis-à-vis de la clientèle (européenne mais aussi internationale avec une activité en Europe).
Une classification des produits basée sur leur criticité
Dans une philosophie assez similaire à celle mise en place par l’AI Act et son approche basée sur les risques, certains produits sont considérés comme « critiques » (Art. 6 du CRA). Ces derniers sont listés dans l’annexe III du Règlement (et répartis entre les classes I et II de ladite annexe). A titre d’exemple, sont considérés comme des produits critiques : les gestionnaires de mots de passe, les logiciels qui recherchent, suppriment ou mettent en quarantaine des logiciels malveillants, les produits comportant des éléments numériques avec la fonction de réseau privé virtuel (VPN), ou encore les systèmes de surveillance du trafic réseau.
Qui est concerné par le CRA?
L’intégralité des opérateurs économiques du secteur des produits comportant des éléments numériques est concernée par le CRA :
- Les fabricants et leurs représentants ;
- Les éditeurs de logiciels ;
- Les importateurs;
- Les distributeurs.
Même si le Règlement cible principalement les fabricants, elle a des implications importantes pour tous les acteurs du secteur industriel des produits comportant des éléments numériques.
Par effet de ruissellement, son impact va être bien plus important et les entreprises devront l’analyser tant sous la perspective de potentiel fabricant d’un produit concerné que sous celle d’un potentiel fournisseur de l’écosystème d’une entité concernée.
Les DPOs, Directions juridiques, RSSI et équipes Produits vont devoir s’interroger sur l’impact potentiel de cette réglementation sur leurs organisations. Cela non seulement comme fabricants ou distributeurs, mais aussi en termes de sécurisation de la chaîne d'approvisionnement et de produits que leurs entreprises déploient dans leurs environnements opérationnels.
Obligations mises en œuvre par le CRA
Le CRA impose des obligations aux fabricants, éditeurs, distributeurs et importateurs de produits logiciels ou matériels comportant des éléments numériques (Annexe I du CRA, « Exigences essentielles en matière de cybersécurité »). Ces obligations peuvent être synthétisées en trois catégories :
- Cybersécurité dès la conception et par défaut.
- Gestion des vulnérabilités.
- Surveillance du marché.
Cybersécurité dès la conception et par défaut
Pour qu’un produit soit commercialisé en dans la zone de l’UE, il doit, notamment (Annexe I (1) du CRA), être conforme aux normes de cybersécurité énoncées dans le CRA, une sorte de « cyberresilience by design ». Cette obligation est portée par tous les opérateurs de la chaîne à un degré ou un autre et elle induit entre autres :
- D’avoir réalisé des analyses de risques approfondies pendant la phase de développement.
- De garantir que les produits sont sécurisés dès le départ, avec des paramètres par défaut qui donnent la priorité à la sécurité.
- De mettre en œuvre des mécanismes d’authentification et d’autorisation robustes.
- De protéger les données pour garantir la confidentialité, l’intégrité et la disponibilité.
Ainsi, à titre d’exemple, les produits considérés comme «critiques» (par exemple, les gestionnaires de mots de passe, les systèmes de surveillance de trafic réseau) doivent faire l'objet d'une procédure d'évaluation de la conformité avant d'être mis sur le marché.
Gestion des vulnérabilités
Par ailleurs, les fabricants sont sujets à des obligations supplémentaires relatives à la gestion et à la surveillance des vulnérabilités des produits (ce qui est logique et découle du fait qu’ils conçoivent les produits). Ils sont notamment tenus (Annexe I (2) du CRA):
- De fournir une nomenclature logicielle (autrement dit un « Software Bill of Materials »), assurant la transparence sur les composants utilisés dans leurs produits.
- De fournir des mises à jour de sécurité rapidement et gratuitement.
- Dès la publication d’une mise à jour de sécurité, de divulguer publiquement des informations sur les vulnérabilités corrigées, en ce compris une description des vulnérabilités, des informations permettant aux utilisateurs d’identifier le produit concerné, les conséquences de ces vulnérabilités, leur gravité et des informations aidant les utilisateurs à y remédier.
- De veiller à ce que les vulnérabilités et les incidents soient signalés aux autorités de cybersécurité et, le cas échéant, aux utilisateurs.
Ainsi, toute vulnérabilité découverte doit être signalée à l'Agence de l'Union européenne pour la cybersécurité (ENISA) dans les 72 heures suivant sa découverte (avec une notification rapide sous 24 heures s’il s’agit d’une vulnérabilité grave).
Sur cette obligation particulière, les fabricants de produits « critiques » devront systématiquement signaler les vulnérabilités découvertes à l’ENISA sous un délai de 24 heures pour ce type de produits.
Surveillance du marché
Autre typologie d’obligations à la charge des fabricants : les fabricants devront procéder à une auto-évaluation des produits ou obtenir des certifications externes via des audits indépendants selon la criticité des produits.
C’est un sujet majeur pour les équipes de Sécurité des Systèmes d’Information et les équipes en charge de la Conformité, car cela va entraîner un coût (en termes de ressources humaines mais aussi financier), d’autant que la logique du texte est que cela se fasse par produit et non par structure ou entreprise.
Il y a divers points d’attention quand on réfléchit aux relations et aux responsabilités que va instaurer le Règlement entre les divers opérateurs de l’écosystème des produits et logiciels connectés :
- Les importateurs et les distributeurs sont tenus de vérifier la conformité des produits avant de les mettre sur le marché de l'UE.
- Ils doivent aussi informer le fabricant des vulnérabilités découvertes.
- Par ailleurs, lorsque les distributeurs ou les importateurs mettent un produit sur le marché sous leur propre nom ou marque de commerce, ils seront soumis à des obligations au niveau du fabricant.
- De même, tout opérateur économique qui modifierait de façon substantielle un produit comportant des éléments numériques et mettrait ce produit à disposition sur le marché serait soumis à des obligations au niveau du fabricant.
Ces diverses obligations et interactions mises en place par le CRA sont susceptibles d’avoir des impacts légaux et commerciaux forts sur les relations de partenariat et de distributions spécifiques au marché du numérique. Les divers acteurs vont chercher à protéger leurs intérêts avant tout et il y a fort à parier que les négociations contractuelles se durcissent et se complexifient aux fins de répondre aux nouvelles exigences mises en place par le CRA. On peut aussi anticiper une frilosité nouvelle du côté des distributeurs et importateurs à mettre un produit sur le marché en leur nom propre à partir du moment où cela induira une responsabilité et donc un risque lié renforcés.
Marquage CE pour la sécurité
Le marquage CE s’étendra désormais à la conformité en matière de cybersécurité et, sous réserve du respect des exigences du CRA, les fabricants pourront apposer le marquage « CE » sur leurs produits, garantissant ainsi leur conformité à la CRA et leur autorisation de circuler sur le marché européen. Bien que très contraignant, ce Règlement est aussi une opportunité du fait des standards de qualité qu’il met en place.
Quelles sont les sanctions potentielles en cas de non-respect des dispositions du CRA?
En cas de non-conformité, les autorités compétentes seront en mesure d’exiger des opérateurs économiques concernés qu’ils mettent un terme à la situation de non-conformité et qu’ils éliminent le risque associé.
Afin d’inciter les opérateurs à respecter les dispositions du CRA, trois types de sanctions sont prévues :
- Les autorités compétentes pourront interdire ou limiter la commercialisation d’un produit (et notamment demander son retrait ou son rappel).
- Par ailleurs, le Règlement prévoit des amendes (Article 53 « sanctions » du CRA):
(a) Le non-respect des obligations imposées aux fabricants peut entraîner des amendes administratives pouvant aller jusqu'à 15 millions d’euros ou 2,5 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
(b) Le non-respect des autres obligations (y compris les obligations des distributeurs et des importateurs) est passible d'amendes administratives pouvant aller jusqu'à 10 millions d’euros ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
(c) Enfin, la fourniture d’informations inexactes, incomplètes ou trompeuses aux organismes notifiés et aux autorités de surveillance du marché en réponse à une demande fait l’objet d’une amende administrative pouvant aller jusqu’à 5 millions d'euros ou 1 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
- De plus, les autorités compétentes peuvent également exiger des opérateurs de publier des avis publics concernant les non-conformités identifiées.
Calendrier du CRA et implications pratiques pour les entités qui y sont assujetties
Calendrier
Le Règlement a finalement été adopté par le Conseil européen le 10 octobre 2024 et devrait bientôt être signé et publié au Journal officiel de l'UE.
Il entrera en vigueur 20 jours après sa publication. Ensuite, il y aura une fenêtre de 36 mois avant que le CRA ne s’applique pleinement, bien que certaines dispositions entreront en vigueur plus tôt.
Même s’il semble que les entreprises bénéficient d’un certain temps pour être en conformité (jusqu’en 2027 environ), il est essentiel de commencer à anticiper son implémentation et à se préparer dès à présent.
Implications pratiques
Quel impact cela a-t-il sur les gardiens de la conformité et la de sécurité en entreprise ? Quel est l’impact pour les Juristes, les RSSI et les DPOs ?
Ajuster ses pratiques de gestion des risques afin d’y intégrer les exigences du CRA
Cela implique entre autres :
- D’analyser le CRA pour l’intégrer à la cartographie des risques de son entreprise.
- D’inclure la conformité au CRA comme facteur dans les évaluations des risques.
Mettre à jour les procédures de contrôles des fournisseurs
En effet, les entreprises vont devoir s’assurer que leurs fournisseurs (et tout particulièrement ceux contribuant au fonctionnement d’un produit numérique) respectent le CRA. Pour ce faire, il va notamment falloir :
- Mettre à jour les procédures de contrôle des fournisseurs en conséquence (audits, questionnaires, KYPs, …).
- Réévaluer ses critères d’approvisionnement pour prioriser les fournisseurs conformes au CRA.
- Cartographier les fournisseurs et produits/ services à risque et/ou critiques et monitorer avec eux leur future conformité (quitte à exiger des engagements en amont).
- Mettre à jour les contrats fournisseurs pour inclure des clauses de conformité au CRA (voire rajouter une annexe dédiée selon la complexité du sujet).
Repenser sa politique de partenariats et de distribution au regard de cette nouvelle norme
C’est un lourd chantier qui s’annonce pour les entreprises commercialisant des biens numériques via des partenaires et des distributeurs. Il va leur falloir repenser leurs accords de partenariat et de distribution au regard des risques et obligations qu’implique le CRA (et notamment adapter les contrats en conséquence). Si ces entreprises ne le font pas, elles risquent de voir leurs partenaires le faire pour elles.
Mettre à jour ses politiques internes et communiquer en interne sur cette nouvelle norme
Ceci implique notamment de :
- Modifier et /ou compléter ses documentations et guides internes en conséquence.
- De former les employés de son entreprise à cette nouvelle norme.
- De s’assurer par des procédures pérennes que les employés comprennent ces changements et leurs implications.
Renforcer la posture de la conformité dans son entreprise
La conformité est devenue un impondérable, et surtout un facteur de croissance. Dans un monde où les normes sont de plus en plus nombreuses et complexes, une politique forte de conformité fait gagner des marchés. Anticiper ces sujets est la marque d’une direction qui est entrée dans l’ère moderne.
Ainsi, le Règlement sur la cyberrésilience n’est pas qu’un sujet de conformité, c’est une occasion de se sécuriser sur un risque majeur : le cyberrisque, et se démarquer vis-à-vis de la concurrence. Le Règlement se profile à l’horizon et il devrait apporter des changements substantiels dans la manière dont est abordée la cybersécurité des produits numériques.
Devant le chantier annoncé de sa conformité, il parait évident que la mise en œuvre des changements nécessaires impliquera des ressources et des efforts importants, et certains fournisseurs et partenaires pourraient mettre du temps à s'adapter. Mais en restant proactifs, les défis annoncés pourraient se transformer en opportunités.