[ad_1]
La Commission européenne soutient que sa nouvelle loi sur la cybersécurité établira le seuil minimum de sécurité pour les produits de l’Internet des objets dans le monde entier et donnera un avantage concurrentiel aux fabricants européens.
La proposition de loi sur la cyberrésilience a été présentée la semaine dernière et introduit une approche de sécurité dès la conception pour tous les produits comportant des composants numériques. L’idée est d’obliger les fabricants à remédier aux vulnérabilités afin de faciliter l’adoption des produits connectés par les consommateurs. Le secteur de l’Internet des objets devrait connaître un véritable essor dans les années à venir.
Comme anticipé par EURACTIV, le règlement comprend une série d’exigences fondamentales auxquelles les fabricants de produits devraient se conformer tout au long du cycle de vie du produit, notamment en diffusant gratuitement des correctifs de sécurité via des mises à jour automatiques.
« Cela n’aura pas seulement un impact sur l’Union européenne. Cela va changer les règles du jeu au niveau mondial, d’une manière ou d’une autre. Parce qu’ils vont nous copier ou parce qu’ils n’auront pas les outils nécessaires pour respecter nos règles. C’est une bonne chose non seulement pour le niveau de cybersécurité, mais aussi pour la compétitivité de l’Europe », a déclaré Lorena Boix Alonso, la directrice du département de la Commission en charge de la cybersécurité, lors d’un événement organisé par EURACTIV en début de semaine.
L’ambition est de reproduire le résultat du règlement général sur la protection des données via l’« effet Bruxelles ». À savoir que les entreprises qui ont adopté les règles européennes pour accéder au marché unique ont trouvé plus pratique de les appliquer dans leurs opérations au niveau mondial que de créer des produits ou des processus différents.
« Au début, tout le monde était un peu hésitant. Puis, nous avons vu que tous les autres marchés, y compris le marché américain, ont commencé à respecter les mêmes règles que le marché européen », a déclaré Joanna Swiatkowska, directrice de l’Organisation européenne de cybersécurité, lors du même événement.
Mme Swiatkowska a ajouté que la loi sur la cyberrésilience serait susceptible de renforcer le niveau de sécurité au niveau mondial et de créer un marché dans lequel la cybersécurité serait un avantage concurrentiel. Une incitation qui, jusqu’à présent, fait défaut.
L’exécutif européen a estimé que deux tiers des cyberattaques proviennent d’une exploitation des failles des appareils connectés. Parallèlement, le fabricant du produit connaît plus de la moitié de ces failles lorsqu’il lance le produit sur le marché.
« Il serait difficile pour un cambrioleur de pénétrer dans votre maison ou pour un groupe criminel de mettre votre téléphone sur écoute. Dans le domaine cyber, ces événements sont trop courants. C’est parce que nous ne verrouillons pas toujours la porte. Lorsque nous le faisons, il arrive que le cadenas ne fonctionne pas », a déclaré l’ambassadeur tchèque Jaroslav Zajicek.
En effet, les fabricants sont incités à lancer un produit sur le marché le plus tôt possible plutôt que d’investir dans sa sécurisation s’ils n’y sont pas contraints. C’est pourquoi le nouveau règlement vise à mettre à niveau la législation européenne en matière de sécurité des produits pour couvrir ce type de produit avec une approche fondée sur le risque.
« Il y a deux façons de suivre une approche fondée sur le risque. Soit vous donnez des exigences de sécurité différentes, soit vous évaluez les mêmes exigences différemment en fonction du niveau de risque. Dans ce cas, il n’était pas approprié de dire que certains produits devaient être mieux protégés que d’autres », a ajouté Mme Boix Alonso.
La proposition précise que, bien que tous les produits soient soumis aux mêmes exigences, la procédure d’évaluation de la conformité sera rigoureuse pour certaines catégories de produits, comme les téléphones mobiles, les lecteurs de cartes et tous les dispositifs connectés liés à un usage industriel.
La représentante de la Commission a reconnu qu’elle s’attendait à un débat intense sur les produits qui feront partie de ces catégories. Comme c’est toujours le cas lorsqu’il y a une liste, les efforts des lobbyistes se concentrent sur l’ajout ou la suppression d’éléments spécifiques.
« La proposition se concentre sur l’aspect industriel de ce défi. De notre côté, il y a certains produits qui, précisément en raison de la sensibilité de l’utilisation prévue, devraient également être reconnus comme des produits critiques », a déclaré Cláudio Teixeira, juriste au BEUC, l’association européenne des consommateurs.
M. Teixeira a cité le cas de My Friend Cayla, une « poupée intelligente » qui permet aux enfants d’accéder à Internet via un logiciel de reconnaissance vocale. La poupée a suscité une réaction négative du public en Allemagne après qu’il a été révélé que des pirates informatiques pouvaient facilement accéder à la poupée pour espionner ou même parler aux enfants. L’autorité allemande des télécommunications a donc déclaré que la poupée était un « appareil d’espionnage illégal ».
Pour l’organisation de consommateurs, tous les produits liés aux enfants et les systèmes destinés à assurer la sécurité de l’utilisateur dans le monde physique, tels que les maisons intelligentes et les alarmes de sécurité, devraient faire l’objet du plus haut niveau de garantie.
[ad_2]