La loi européenne sur la cyber-résilience : une réelle avancée pour la cybersécurité ?

La loi sur la cyber-résilience permettra-t-elle, à terme, de diminuer le nombre de cyberattaques ?

Le 15 septembre 2022, l’Union européenne a soumis un nouveau projet de loi intitulé « loi sur la cyber-résilience ». Cette législation préconise une approche européenne horizontale de la cybersécurité et concerne spécifiquement les fabricants de matériel informatique et de logiciels, car ce sont eux qui portent la plus grande responsabilité dans le développement de moyens technologiques (plus) sûrs.

L’Union européenne nourrit de grandes ambitions à l’égard de cette loi en matière de cybersécurité. Par exemple, en imposant des règles plus claires aux fabricants de technologies, elle pense pouvoir diminuer le nombre de cyberattaques et ainsi réduire le coût total de la cybercriminalité de 290 milliards d’euros par an. Mais dans quelle mesure ces ambitions sont-elles réalistes ?

Renforcer les produits technologiques et les connaissances des utilisateurs

Les grandes lignes du projet de loi de cette étude consistent à identifier les principaux goulets d’étranglement en matière de cybersécurité. Le premier problème structurel relevé est le degré général de sécurité de la technologie puisqu’un produit TIC sur quatre sur le marché présente un degré de sécurité qualifié de « faible » ou de « très faible ». Certains fabricants économisent parfois sur la sécurité pour mettre leurs produits sur le marché plus rapidement. Si le faible degré de sécurité de départ est ultérieurement corrigé grâce à des mises à jour, ces dernières interviennent généralement lorsqu’une vulnérabilité a déjà été découverte. Or même si cela représente un investissement coûteux, le facteur sécurité devrait être inhérent au produit dès la conception et les entreprises devraient être encouragées à protéger leurs produits au mieux.

Le 2e problème structurel identifié est le manque de connaissances sur la manipulation des produits TIC de manière responsable. En Europe, sept utilisateurs sur dix avouent ne pas avoir été assez sensibilisés aux risques liés aux cyberattaques. De plus, lors de l’achat de produits, les utilisateurs finaux ne considèrent pas la sécurité comme un critère principal, car ils supposent trop facilement qu’elle va de pair avec sa conception. Un tel manque peut également avoir l’effet inverse et rendre les acheteurs méfiants, et contribuer ainsi à ralentir l’adoption de technologies révolutionnaires. Il incombe donc aux fabricants de fournir aux utilisateurs les informations nécessaires concernant le degré de sécurité de leurs produits.

Une juridiction complexe

Quiconque se plongerait dans le code de droit européen découvrirait pas moins de 33 textes législatifs en lien avec le domaine de la cybersécurité – et quatre autres toujours en cours d’élaboration – et se demanderait, non sans plaindre les étudiants en droit européen, « pourquoi aurions-nous donc besoin d’une autre loi sur le sujet ? ».

La réponse est simple : la loi sur la cyber-résilience s’appuie sur la loi sur la cybersécurité entrée en vigueur en 2019, qui constituait une première tentative d’imposer des règles destinées à régenter l’ensemble du marché européen des TIC. Cette nouvelle loi a donc pour mission de combler les lacunes de la loi précédente et d’instaurer des règles strictes et respectées par tous les acteurs de l’Union européenne. Cette dernière espère ainsi pouvoir mettre fin à la fragmentation du marché, où chaque pays possède ses propres règles – bien trop vagues - en matière de cybersécurité et où les produits sont peu contrôlés.

De la responsabilité des fabricants

La loi sur la cyber-résilience rend les fabricants principalement responsables de la cybersécurité sur leurs produits, leurs matériels et leurs logiciels. Selon le texte officiel, la loi s’applique aux fabricants de « tout produit dont l’utilisation prévue nécessite une connexion numérique ou physique directe ou indirecte à un dispositif ou à un réseau ».

Concrètement, cette responsabilité est divisée en trois obligations. Tout d’abord, les produits doivent être développés, conçus et fabriqués conformément à une longue liste de « règles de sécurité essentielles » pour la protection contre les accès non autorisés, le stockage sécurisé des données sensibles, ou encore le déploiement des mises à jour. De plus, les fabricants doivent pouvoir fournir aux utilisateurs une documentation suffisante concernant l’installation et l’utilisation sûres de leurs produits.

Troisième obligation et non des moindres : dans une démarche de transparence vis-à-vis de leurs clients, les fabricants devront charger des tiers de réaliser des tests de sécurité et ils seront désormais tenus de signaler les vulnérabilités découvertes dans un produit après sa mise sur le marché. Mais dans les cas où cette obligation n’est pas respectée, des sanctions adaptées sont alors appliquées : les produits non conformes aux exigences en matière de sécurité sont retirés du marché et les fabricants non désireux d’améliorer le degré de sécurité de leurs produits peuvent également subir de lourdes sanctions financières.

En matière d’open source, la question ne se pose pas puisque le code est la propriété collective de nombreux contributeurs. Ce serait un fardeau pour ces contributeurs d'être poursuivis ou tenus de rendre des comptes pour ce code, qui est le plus souvent mis à disposition pour l'usage du public. Toutefois, lorsqu'une société commerciale utilise ce code open source dans un but lucratif, les règles s'appliquent, ce qui peut encourager ces organisations à corriger, donner ou améliorer la sécurité des produits open source.

L’effet RGPD

Il est permis d’émettre quelques réserves quant à l’efficacité d’autres décisions du projet de loi. Ainsi, l’obligation d’avertir les utilisateurs des risques liés à un manque de sécurité peut avoir des résultats mitigés et évoque un « effet RGPD » dont il convient de se méfier. Entrée en vigueur il y a plus de 5 ans, cette réglementation n’est toujours pas appliquée correctement dans beaucoup d’entreprises. Aujourd’hui, les gens sont particulièrement agacés par tous ces menus de cookies qu’ils doivent parcourir à chaque fois qu’ils se rendent sur un site web. Même si l’Europe souhaite les encourager à utiliser la technologie et les données de manière intelligente, le fait de les avertir constamment du danger peut tout aussi bien les dérouter, voire les rendre indifférents.

La loi sur la cyber-résilience a encore un long chemin à parcourir avant d’être complètement acceptée, car elle semble un peu trop ambitieuse. En outre, les fabricants n’auront pas d’autre choix que d’investir massivement dans la sécurité de leurs produits pour être en conformité. À n’en pas douter, des groupes de pression vont tenter d’entreprendre des négociations pour effectuer certains ajustements.

Même si les objectifs de l’Union européenne semblent atteignables, il est certain qu’il va falloir attendre quelques années avant de voir si cette loi peut réellement apporter des changements significatifs en matière de cybersécurité.