Un nouveau texte du Conseil sur le Cyber Resilience Act, vu par EURACTIV, supprime la limite de cinq ans au cycle de vie du produit, clarifie le champ d’application du règlement et fait des mises à jour de sécurité automatiques l’option par défaut pour les appareils connectés.
Le Cyber Resilience Act est une proposition législative visant à introduire des exigences de sécurité essentielles pour les appareils interconnectés via Internet pour envoyer et recevoir des données, également connu sous le nom d’Internet des objets (IoT).
La présidence suédoise a fait circuler un autre compromis sur la nouvelle loi sur la cybersécurité discutée mercredi 15 mars au groupe de travail Cyber, un organe technique du Conseil des ministres de l’UE.
Durée de vie du produit
La proposition initiale exigeait que les fabricants de produits évaluent systématiquement les risques de cybersécurité et déploient des correctifs de sécurité pour la durée de vie prévue du produit ou cinq ans, selon la période la plus courte.
Le plafond de cinq ans a été supprimé, ce qui signifie que les fabricants seront probablement responsables d’une période plus longue. Les fabricants ne sont pas tenus d’indiquer la durée de vie prévue de leurs produits, ce qui signifie que les consommateurs sauront quand s’attendre à des mises à jour de sécurité.
Portée
Le nouveau texte du Conseil précise que les sites Web qui ne prennent pas en charge les fonctionnalités des appareils connectés et des services cloud développés en dehors de la responsabilité du fabricant du produit ne relèvent pas du champ d’application du règlement.
Les services de stockage et de traitement de données à distance ne sont concernés que dans la mesure où ils sont nécessaires au fonctionnement du produit Internet des Objets. Par exemple, si un appareil a besoin d’accéder à une base de données développée par le fabricant pour fonctionner.
En d’autres termes, si les fabricants utilisent une application tierce pour le traitement des données qui n’est pas dans le champ d’application, mais si la même entreprise développe le logiciel, le site Web devra alors se conformer aux exigences de cybersécurité du règlement.
Open source
Selon le nouveau texte, le Cyber Resilience Act ne s’appliquerait qu’aux produits connectés lancés sur le marché de l’UE pour gagner de l’argent au-delà des coûts de maintenance, limitant ainsi la portée des logiciels open source.
Remarquablement, les conditions dans lesquelles le produit a été développé n’ont pas d’importance, une mise en garde qui semble destinée à garantir que les logiciels open source comme Android restent dans le champ d’application. En revanche, les produits fournis par les pouvoirs publics moyennant une redevance qui ne couvre que les frais de fonctionnement sont exclus.
Exigences de sécurité
Le texte a été modifié pour que les mises à jour de sécurité soient automatiquement installées comme option par défaut « avec un mécanisme de désactivation clair et facile à utiliser » et avec la possibilité de les reporter temporairement.
Vulnérabilités et rapports
Le document souligne que le rôle de l’agence européenne de cybersécurité, l’ENISA, fait toujours l’objet de discussions. Dans la proposition initiale, l’organisme de l’UE était chargé de collecter toutes les vulnérabilités activement exploitées, créant une charge de travail massive dont beaucoup craignaient qu’elle ne soit un « point de défaillance unique ».
Les inquiétudes de l’industrie concernant d’éventuelles fuites de ces informations sensibles semblent avoir été reconnues. Déjà dans un précédent compromis, EURACTIV a signalé que la notification des vulnérabilités avait été transférée à l’équipe nationale de réponse aux incidents de cybersécurité (CSIRT).
Pour promouvoir la collaboration dans le traitement des vulnérabilités, si un tiers informe un CSIRT d’une vulnérabilité activement exploitée pour un produit IoT, le CSIRT doit immédiatement informer le fabricant concerné.
De plus, si les fabricants développent un correctif de sécurité pour remédier à la vulnérabilité d’un composant de leur produit, ils doivent partager le code correspondant avec l’entité responsable du composant.
Une note au texte indique que le Conseil prévoit d’introduire des exigences spécifiques pour les vulnérabilités activement exploitées dans les futures versions du texte.
Modifications substantielles
Le compromis indique que, même si l’objet connecté était disponible sur le marché avant l’entrée en vigueur du règlement, il doit se conformer aux nouvelles exigences de cybersécurité dans les cas où il a été substantiellement modifié.
Les correctifs de sécurité destinés à réduire le niveau de risque d’un produit IoT, par exemple en corrigeant une vulnérabilité connue, ne doivent pas être considérés comme des modifications substantielles.
Il n’en va pas de même pour les mises à jour qui modifient les fonctions prévues du produit, par exemple, l’ajout d’une nouvelle application, car la nouvelle fonctionnalité élargit la surface d’attaque pour les pirates potentiels.
Composants tiers
Un nouveau paragraphe introduit des obligations de diligence raisonnable pour les fabricants intégrant des composants tiers dans leurs produits. En d’autres termes, les fabricants devraient vérifier que le composant est conforme aux exigences de cybersécurité et qu’il ne présente aucune vulnérabilité connue dans des bases de données accessibles au public.
[Edited by Nathalie Weatherald]