Make this article seo compatible,Let there be subheadings for the article, be in french, create at least 700 words
La question de savoir qui doit recevoir des renseignements extrêmement sensibles sur les cybermenaces a été un point de friction dans les négociations sur la loi sur la cyber-résilience. La Commission a proposé une solution intermédiaire qui doublerait le nombre de récepteurs.
Le Cyber Resilience Act est une proposition législative introduisant des exigences de sécurité pour les appareils connectés. Le dossier est en cours de finalisation dans le cadre de « trilogues » entre la Commission européenne, le Conseil et le Parlement.
Parmi les obligations des fabricants de produits, il y en a une qui consiste à signaler non seulement les incidents de cybersécurité, comme cela a été le cas dans les législations précédentes, mais également les vulnérabilités activement exploitées.
Si une vulnérabilité est activement exploitée, cela signifie qu’il existe un point d’entrée pour les pirates qui n’a pas encore été corrigé. En conséquence, ce type d’informations est très dangereux si elles tombent entre de mauvaises mains, et qui doit se charger de cette tâche est une question politiquement sensible.
Dans le texte original de la Commission, l’ENISA, l’agence européenne de cybersécurité, était chargée de ce travail complexe – une approche qui a trouvé le soutien du Parlement. En revanche, les gouvernements européens souhaitent confier cette tâche aux équipes nationales de réponse aux incidents de sécurité informatique (CSIRT).
Suite au dernier trilogue du 8 novembre, Euractiv a expliqué comment une éventuelle zone d’atterrissage pourrait être envisagée en acceptant le rôle des CSIRT mais avec une implication plus forte de l’ENISA et que l’exécutif européen a proposé que les deux organismes reçoivent les rapports simultanément.
Dans un texte de compromis non daté diffusé après le trilogue et consulté par Euractiv, la Commission a mis son idée noir sur blanc.
« Les fabricants doivent signaler toute vulnérabilité activement exploitée contenue dans le produit avec des éléments numériques dont ils ont connaissance. [the CSIRTs designated as coordinators pursuant to Article 12(1) of Directive (EU) 2022/2555 and ENISA]», lit-on dans le texte.
Les CSIRT nationaux seraient donc aux commandes du processus de reporting, par exemple en demandant au fabricant de fournir un rapport intermédiaire. Les notifications seraient soumises via une plateforme paneuropéenne au point final du CSIRT du pays où l’entreprise a son principal établissement.
« Un fabricant est considéré comme ayant son principal établissement dans l’Union dans l’État membre où sont prises majoritairement les décisions liées à la cybersécurité de ses produits comportant des éléments numériques », poursuit le document.
Si ce critère n’est pas concluant, l’établissement principal sera considéré comme le pays de l’UE où l’entreprise compte le plus grand nombre de salariés.
« Lorsqu’une notification est soumise en utilisant le point final de notification électronique de l’un des États membres, les informations soumises doivent être disponibles simultanément à l’ENISA », ajoute le texte.
Remarquablement, le compromis permet aux fabricants qui n’ont pas de bureau juridique dans l’UE de choisir leur CSIRT national de référence, un point qui, selon Euractiv, est particulièrement difficile à digérer pour le Parlement européen.
Une autre question sensible concerne le pouvoir discrétionnaire des CSIRT de retarder la transmission de renseignements sensibles sur les menaces « pour des raisons justifiées liées à la cybersécurité pendant une période strictement nécessaire ».
Pour les députés, ce point est très important car il pourrait conduire à ce que les informations soient retenues pour toujours sans que personne ne le sache, dans la mesure où les autorités nationales pourraient utiliser ces vulnérabilités pour espionner des cibles pour des raisons de sécurité nationale ou de maintien de l’ordre.
« Lorsqu’un CSIRT décide de refuser une notification, il en informe immédiatement l’ENISA et fournit à la fois une justification du refus de la notification ainsi qu’une indication du moment où il diffusera la notification », indique le document.
L’ENISA pourrait à son tour conseiller les CSIRT sur les raisons de cybersécurité liées au retard dans la diffusion de la notification.
La mise en place et la maintenance de la plateforme unique de reporting, y compris les paramètres nationaux, relèveraient de la responsabilité de l’ENISA en collaboration avec le CSIRT.
Dans un délai de deux ans à compter de l’entrée en application des dispositions pertinentes, la Commission devrait fournir un rapport au Parlement européen et au Conseil sur l’impact de l’application des motifs de retard dans les notifications et sur l’efficacité de la plateforme de reporting.
Euractiv comprend que ce compromis n’a pas encore été discuté au niveau technique et qu’une décision finale sur ce point controversé n’est attendue que lors du prochain, et peut-être dernier, trilogue, le 30 novembre.
[Edited by Nathalie Weatherald]
