La loi européenne sur la cyber-résilience : Qu'est-ce que c'est et comment s'y préparer

C'est un scénario courant pour les développeurs. Vous êtes sur le point de lancer votre dernier produit IoT lorsque vous apprenez que vous devez vous conformer à de nouvelles directives ou réglementations en matière de cybersécurité qui n'ont pas été prises en compte lors du processus de développement. Vous apprenez peut-être que vous ne pouvez pas vendre votre produit sur un marché prévu, comme l'Union européenne (UE). Avec la loi sur la cyber-résilience (CRA), cette éventualité est bien réelle.

L'ARC, qui constitue une nouvelle réglementation d'envergure en matière de cybersécurité, s'applique à la quasi-totalité des dispositifs connectés - et à tout dispositif ayant la capacité de se connecter directement ou indirectement à un autre dispositif ou à un réseau - destinés à être vendus ou distribués dans l'Union européenne.

Officiellement adoptée à la fin de l'année 2024, la date limite de mise en œuvre de l'ARC approche à grands pas. Dans ce billet de blog, nous expliquons ce que les fabricants, les OEM (Original Equipment Manufacturers) et les distributeurs doivent savoir sur la CRA et comment commencer à poser les bases de la conformité.

Qu'est-ce que la loi sur la cyber-résilience ?

La loi européenne sur la cyber-résilience est un cadre réglementaire visant à renforcer la cybersécurité des produits numériques. Contrairement aux réglementations antérieures axées sur la protection des données, la loi sur la cyberrésilience traite de la sécurité des produits eux-mêmes. Il exige que des protections soient intégrées dès la phase de conception et qu'elles soient maintenues après la mise sur le marché.

Qu'est-ce que la loi sur la cyber-résilience ? La loi sur la cyber-résilience (Cyber Resilience Act) s'applique à presque tous les produits contenant des éléments numériques. Pour être vendus ou distribués dans l'UE, les produits concernés doivent être conformes à la loi sur la cyber-résilience et porter un marquage CE attestant de leur conformité.

Au fond, l'ARC profite aux consommateurs et aux entreprises en établissant une base de référence pour les pratiques de cybersécurité qui les protège contre les risques croissants liés à la sécurité de l IoT . En outre, elle soutient un écosystème numérique plus transparent au sein du marché européen.

Les piliers de l'ARC

Qui est concerné par la loi sur la cyber-résilience ?

L'ARC a un champ d'application exceptionnellement large, puisqu'elle concerne toute organisation qui développe, fabrique, importe ou distribue des produits contenant des éléments numériques pour le marché de l'UE. Elle ne se limite pas aux entreprises basées en Europe. Toute entreprise plaçant un produit admissible sur le marché de l'UE doit s'y conformer, quelle que soit la localisation de ses installations de fabrication.

Le règlement établit un modèle de responsabilité partagée, avec des obligations définies pour les parties prenantes tout au long du cycle de vie du produit. Il a des implications considérables pour la chaîne d'approvisionnement numérique.

Dev ops et sécurité

Industries et rôles touchés par l'ARC

Bien que les fabricants aient les obligations les plus étendues, l'ARC a un impact sur un large éventail d'entreprises, notamment

  • Fournisseurs de matériel informatique fournissant des composants avec des éléments numériques
  • Les éditeurs de logiciels dont les applications sont dotées de fonctions de connectivité
  • Intégrateurs de systèmes combinant des composants tiers dans des solutions complètes
  • Importateurs ou distributeurs de produits connectés

Pour répondre aux exigences de l'ARC, les responsables des achats, les chefs de produits, les professionnels de la sécurité et les décideurs techniques doivent travailler ensemble pour assurer la conformité.

Produits concernés par l'ARC

Les produits de l'ARC couvrent pratiquement tous les segments du marché :

  • Contrôleurs industriels, passerelles et réseaux de capteurs
  • Infrastructures connectées pour l'énergie, les transports et les services publics
  • Systèmes de points de vente au détail (POS), kiosques interactifs et équipements d'apprentissage à distance

En bref, si un produit comprend des éléments numériques et se connecte - directement ou indirectement - à d'autres appareils ou réseaux, il relève probablement de l'ARC, à moins qu'il ne soit spécifiquement exempté par d'autres réglementations en matière de cybersécurité.

Quelles sont les principales exigences de l'ARC ?

Selon les lignes directrices de l'ARC, les fabricants et les vendeurs doivent adopter une attitude de responsabilité permanente. Ils doivent commencer par suivre les meilleures pratiques en matière de "sécurité dès la conception", puis rester vigilants face aux nouvelles vulnérabilités.

Ces exigences vont bien au-delà de la certification traditionnelle des points de vente, par exemple, en créant des obligations permanentes pour tenir les utilisateurs finaux et les régulateurs bien informés tout au long du cycle de vie du produit.

Principes de conception sécurisée

L'ARC incite les fabricants à prendre en compte la cybersécurité dès les premiers stades du développement. Les dispositifs doivent faire l'objet d'une évaluation formelle des risques de cybersécurité et intégrer les protections appropriées. Cela implique, entre autres, ce qui suit

  • Veiller à ce que les produits soient livrés sans aucune vulnérabilité exploitable connue
  • Utiliser des configurations sécurisées par défaut dès le départ
  • Mise en œuvre de systèmes d'authentification pour empêcher les accès non autorisés
  • Protection de la confidentialité des données grâce à des mécanismes de cryptage de pointe
  • Minimiser les surfaces d'attaque en réduisant les interfaces et l'exposition inutiles

Pour de nombreux fabricants, la mise en conformité avec les lignes directrices de l'ARC nécessitera des changements fondamentaux dans les processus de conception. Le règlement affecte non seulement l'architecture des dispositifs, mais aussi le développement des microprogrammes et la documentation des produits.

Conception de produits sans fil

Surveillance continue des risques et mises à jour

La sécurité n'est pas une obligation ponctuelle. En vertu de l'ARC, les fabricants doivent surveiller les nouvelles menaces tout au long de la période d'assistance du produit. Lorsqu'un problème de sécurité est identifié, des mises à jour de sécurité doivent être fournies sans délai.

Ces mises à jour doivent être gratuites et faciles à appliquer pour les utilisateurs. Elles doivent également être distribuées de manière sécurisée, afin de garantir que les vulnérabilités soient corrigées ou réduites rapidement et, le cas échéant, automatiquement pour les mises à jour de sécurité.

Ces exigences nécessitent des services tels que Digi ConnectCore® Cloud Services qui garantissent des communications sécurisées de périphérie à périphérie prenant en charge la sécurité de la couche de transport (TLS), l'authentification basée sur un certificat et le cryptage. Les vulnérabilités peuvent être corrigées en tirant parti de la fonction de mise à jour logicielle sécurisée incluse dans nos services cloud pour déployer de manière sûre et fiable de tels correctifs à distance par voie hertzienne (OTA). En outre, grâce à la fonctionnalité des modèles, les parcs d'appareils OEM peuvent être automatiquement analysés, mis à jour et maintenus en conformité avec la configuration établie. En exploitant les modèles, les clients OEM peuvent gagner du temps, réduire les erreurs, minimiser les efforts et gérer l'échelle lorsque des mises à jour de configuration sont nécessaires, ainsi que garantir la cohérence et la normalisation de tous les appareils déployés sur le terrain.

Apprenez comment DigiDigi ConnectCore Cloud Services simplifie la conformité de la sécurité pour les grandes flottes d'appareils IoT .

Rapports d'incidents obligatoires

Si une vulnérabilité est activement exploitée ou si un incident de sécurité important se produit, l'ARC exige des fabricants qu'ils en informent l'Agence de cybersécurité de l'Union européenne (ENISA) et une équipe de réponse aux incidents de sécurité informatique (CSIRT) désignée. Les alertes initiales doivent être soumises dans les 24 heures, avec un suivi requis dans les 72 heures, 14 jours et 30 jours, comme indiqué à l 'article 14, "Obligations de notification des fabricants".

Ces délais stricts exigent une détection et une réaction rapides. Le non-respect de ces règles peut avoir des conséquences importantes, notamment des amendes pouvant aller jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial.

Documentation et conformité des produits

Pour démontrer la conformité à l'ARC, les fabricants doivent conserver une documentation décrivant la manière dont leurs produits répondent aux exigences réglementaires au moins pendant la période de soutien. Il s'agit notamment d'une copie de la déclaration de conformité de l'UE, des dossiers techniques, des évaluations de conformité et de la nomenclature du logiciel (SBOM).

Ce niveau de documentation représente l'un des aspects les plus gourmands en ressources de la préparation à l'ARC - en particulier pour les entreprises qui gèrent de grandes flottes d'appareils connectés. La mise à jour des enregistrements dans les différentes gammes de produits, le suivi des modifications apportées aux microprogrammes et la traçabilité des mesures de sécurité nécessiteront des processus internes solides et des services tels que Digi ConnectCore Security Services, qui peuvent aider à automatiser la documentation relative à la conformité.

Quand la loi sur la cyber-résilience entrera-t-elle en vigueur ?

Malgré l'idée reçue selon laquelle l'ARC est une préoccupation lointaine, les principales obligations approchent à grands pas.

Calendrier de la loi sur la cyber-résilience

Il est important de noter que l'ARC s'applique non seulement aux nouvelles conceptions, mais aussi aux renouvellements de produits. Toute mise à jour importante apportée à un produit existant après décembre 2027 est susceptible d'entraîner des obligations de conformité.

A cela s'ajoute une exception à l'article 69, "Dispositions transitoires". Les obligations énoncées à l 'article 14, "Obligations de déclaration des fabricants", s'appliqueront à tous les produits entrant dans le champ d'application de ce règlement et mis sur le marché avant décembre 2027.

Compte tenu de l'ampleur des changements techniques et organisationnels impliqués, les fabricants, les équipementiers et les intégrateurs de systèmes doivent commencer à se préparer dès maintenant.

Regardez notre webinaire pour en savoir plus sur comment respecter les délais de mise en conformité de l'ARC.

Comment Digi peut aider à la mise en conformité avec les règles de l'ARC

Digi ConnectCore Services de sécuritéPour répondre aux exigences globales de l'ARC, il faut approche holistique de la sécurité intégrée. Digi se tient prêt à vous aider, avec des Digi ConnectCore Solutions embarquées qui soutiennent le développement de produits sécurisés, la gestion du cycle de vie à distance, le signalement des vulnérabilités et la documentation.

Plus qu'un simple fournisseur de solutions, Digi se veut un partenaire à long terme pour l'innovation de produits sécurisés sur le marché de l'UE. Nous suivons l'ARC depuis ses premières ébauches et nous nous engageons à aider nos clients à répondre à l'évolution des besoins en matière de conformité.

Nous travaillons avec chaque client pour mettre au point un ensemble de services sur mesure correspondant à leurs objectifs spécifiques.

Sécurité intégrée avec Digi TrustFence

Sécurité Digi TrustFenceDigi TrustFence® est un cadre de sécurité fondamental intégré dans les plateformes matérielles de Digi. Il permet aux fabricants d'appliquer des principes de sécurité dès la conception, contribuant ainsi à répondre aux exigences de l'ARC dès le premier jour. TrustFence comprend des fonctions telles que le démarrage sécurisé, la gestion des identités, le stockage crypté et les mises à jour sécurisées du micrologiciel, créant ainsi une base solide pour une résilience à vie.

Ces protections intégrées réduisent le risque de modifications coûteuses qui pourraient résulter de la découverte de vulnérabilités à un stade tardif du processus de développement. En outre, elles favorisent la conformité avec les exigences de l'ARC, par exemple, les configurations sécurisées par défaut, la confidentialité des données et la réduction de la surface d'attaque.

Sécurité du cycle de vie avec Digi Digi ConnectCore Security Services et Digi ConnectCore Cloud Services

Les services de sécurité DigiDigi ConnectCore aident à répondre aux exigences post-commercialisation de l'ARC en surveillant les vulnérabilités des appareils tout au long de leur cycle de vie. Grâce aux services Digi Digi ConnectCore Cloud, les OEM peuvent fournir en toute sécurité des mises à jour de micrologiciels et maintenir une visibilité sur l'ensemble d'un parc de produits. Des fonctionnalités telles que le rapport automatisé des vulnérabilités et expositions communes (CVE), disponible dans nos services de sécurité, et le déploiement automatisé des correctifs, disponible dans nos services cloud, favorisent une conformité continue et une réponse rapide aux vulnérabilités.

Gestion du cycle de vie des produits

Simplifier la documentation et la préparation à la conformité

L'ARC exige une documentation technique complète, des dossiers bien tenus et une description des processus de traitement des vulnérabilités mis en place. Les services de sécurité Digi ConnectCore répondent à ces exigences en analysant automatiquement les SBOM personnalisés pour trier les CVE, en éliminant les faux positifs et en permettant aux OEM de se concentrer sur les plus critiques. En outre, les OEM peuvent tirer parti de notre couche de méta-digi-sécurité qui comprend une collection de correctifs de sécurité pré-intégrés pour Digi Embedded Yocto (DEY), Board Support Package (BSP), le noyau Linux et le chargeur de démarrage. Ces données rationalisent la création de fichiers techniques et aident à soutenir les obligations de reporting de l'ARC, y compris les notifications et les évaluations de conformité de l'ENISA et du CSIRT.

En centralisant la collecte des données relatives à la sécurité, Digi réduit la charge de travail de documentation des équipes d'ingénierie et de conformité, ce qui facilite le maintien de l'état de préparation à l'audit dans les déploiements intégrés.

Composants du SBOM

Prochaines étapes : Se préparer à la loi européenne sur la cyber-résilience

L'heure tourne pour l'ARC. Bien qu'il faille encore attendre plusieurs mois pour qu'elle soit pleinement appliquée, il convient de s'y préparer dès maintenant afin de protéger votre accès au marché de l'UE. Prenez les mesures proactives suivantes pour assurer une transition en douceur :

  • Évaluer le niveau de cybersécurité des produits actuels et futurs
  • Examinez vos pratiques en matière de développement, de suivi et de documentation
  • Évaluer les fournisseurs et les partenaires en fonction des capacités alignées sur l'ARC
  • Créer ou mettre à jour des plans de vulnérabilité et d'intervention en cas d'incident
  • Élaborer une feuille de route pour la conformité tout au long du cycle de vie de votre produit

N'attendez pas la dernière heure. Commencez dès maintenant à transformer la conformité à l'ARC en un avantage concurrentiel.

Regardez notre plongée en profondeur dans les exigences en matière de cybersécurité et la préparation à l'ARC.

FAQ sur la loi sur la cyber-résilience

Pourquoi l'ARC a-t-elle été introduite ?

L'Union européenne souhaite faire face aux risques croissants en matière de cybersécurité dans un monde de plus en plus connecté. De nombreux produits sur le marché ne bénéficient pas de mesures de sécurité suffisantes, ce qui les rend vulnérables aux attaques. L'ARC garantit aux consommateurs et aux entreprises que les produits répondent à des normes minimales de cybersécurité.

À qui s'applique l'ARC ?

L'ARC s'applique à :

  • Fabricants de matériel et de logiciels mis sur le marché de l'UE

  • Importateurs et distributeurs de ces produits

  • Certaines places de marché en ligne facilitant leur vente

Quels sont les produits couverts par l'ARC ?

L'ARC couvre tous les produits comportant des éléments numériques (matériel ou logiciel) qui peuvent se connecter directement ou indirectement à un réseau et qui seront vendus dans l'UE. En voici quelques exemples :

  • Dispositifs intelligentsIoT, wearables, appareils ménagers, dispositifs médicaux)

  • Systèmes d'exploitation et applications

  • Systèmes de contrôle industriel

  • Logiciels de sécurité et pare-feu

  • Et tout autre appareil ayant la capacité de se connecter à l'internet

Certains produits sont-ils exclus des exigences de l'ARC ?

Oui. Les produits déjà réglementés par des règles sectorielles de l'UE comportant des exigences équivalentes en matière de cybersécurité (comme les dispositifs médicaux, l'aviation ou les voitures) sont exclus. Les logiciels libres développés ou fournis en dehors de toute activité commerciale sont également exemptés.

Quelles sont les principales obligations de l'ARC pour les fabricants ?

Les fabricants doivent faire ce qui suit :

  • Concevoir et développer des produits en tenant compte de la cybersécurité ("security by design")

  • Fournir une déclaration de conformité et un marquage CE

  • Veiller à ce que les produits reçoivent des mises à jour de sécurité pendant toute leur durée de vie prévue, soit au moins cinq ans.

  • Signaler à l'ENISA (Agence européenne pour la cybersécurité), dans les 24 heures, les vulnérabilités et les incidents activement exploités.

Quelles sont les obligations de l'ARC pour les importateurs et les distributeurs ?

Ils doivent s'assurer que les produits sont conformes à l'ARC avant de les mettre sur le marché. Ils doivent notamment vérifier le marquage CE et les déclarations de conformité, et s'assurer que les fabricants respectent leurs obligations en matière de sécurité.

Comment le respect des règles de l'ARC sera-t-il démontré ?

La conformité est démontrée par :

  • Auto-évaluation du fabricant pour les produits à risque standard

  • Évaluations de la conformité par des tiers pour les produits à haut risque (tels que les systèmes de gestion de l'identité, les gestionnaires de mots de passe ou les logiciels critiques pour la sécurité).

Quelles sont les sanctions en cas de non-respect de l'ARC ?

Les amendes peuvent aller jusqu'à

  • 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu) pour les infractions graves

  • 10 millions d'euros ou 2 % du chiffre d'affaires pour non-respect des obligations

  • 5 millions d'euros ou 1 % du chiffre d'affaires pour des informations incorrectes, incomplètes ou trompeuses

Quand l'ARC s'appliquera-t-elle ?

  • L'ARC est entré en vigueur en décembre 2024

  • La plupart des dispositions s'appliqueront après une période de transition de 36 mois en 2027.

  • Les obligations de déclaration de vulnérabilité s'appliqueront plus tôt, après 21 mois

Quels sont les avantages de l'agence de notation pour les consommateurs ?

Les consommateurs de produits connectés en tirent de multiples avantages :

  • Confiance accrue dans les produits numériques

  • Une meilleure protection contre les cyberattaques

  • Durée de vie plus longue des produits grâce aux mises à jour de sécurité obligatoires

Comment l'ARC affecte-t-elle les entreprises ?

Les entreprises sont touchées par l'ARC de plusieurs façons. Par exemple :

  • L'ARC crée des conditions de concurrence équitables avec des règles harmonisées dans l'ensemble de l'UE.

  • Il réduit les coûts de mise en conformité avec les multiples réglementations nationales

  • Elle accroît la responsabilité des produits non sécurisés

Prochaines étapes

Débat d'experts au CES 2025
En savoir plus sur la cybersécurité et la législation CRA