Comment se conformer à la nouvelle loi européenne sur la cyber-résilience

La réglementation britannique prend rarement le pas sur celle de l’UE. Pourtant, c’est précisément ce qui s’est produit en avril 2024 lorsque Sécurité des produits et infrastructure des télécommunications au Royaume-Uni La loi PSTI, qui réglemente les appareils connectés, est entrée en vigueur. Cependant, si elle a réussi à accélérer le processus, elle a perdu en portée. La version européenne, la loi sur la résilience cybernétique (Cyber ​​Resilience Act, CRA), est beaucoup plus large et détaillée et placera la barre très haut en matière de conformité, exigeant une approche rigoureuse de la gestion des cyber-risques.

À un niveau élevé, le CRA est conçu pour améliorer la sécurité et la fiabilité des technologies connectées et permettre aux acheteurs de distinguer plus facilement les produits de haute qualité grâce à un système de marquage de type kite. Avec des pénalités pouvant atteindre 15 millions d'euros ou 2.5 % du chiffre d'affaires annuel, la non-conformité n'est pas une option, et pour les entreprises britanniques souhaitant exploiter le vaste marché de l'UE, c'est une obligation. Heureusement, le respect des normes de sécurité des meilleures pratiques telles que la norme ISO 27001 fera l'essentiel du travail.

Que couvre-t-il ?

La LCAP s’applique à :

• Produits avec éléments numériques (PDE) – en d’autres termes, des logiciels ou du matériel capables de se connecter à un appareil ou à un réseau
• Les solutions de « traitement de données à distance » d'un PDE
• Composants logiciels ou matériels d'un PDE commercialisés séparément

En pratique, cela concerne une large gamme de produits, notamment des appareils intelligents comme les smartphones, les tablettes, les PC, les téléviseurs et les réfrigérateurs, les objets connectés et même les jouets pour enfants. Certaines catégories de produits, comme les appareils médicaux et les véhicules, qui sont déjà réglementés, ne sont pas encore couvertes par le CRA.

Qu'avez-vous besoin de faire?

La législation s'appliquera aux fabricants, à leurs représentants agréés, aux importateurs, aux distributeurs et aux détaillants. La majeure partie de la charge de conformité incombera aux fabricants, qui devront :

• Évaluer les risques de cybersécurité des PDE et s'assurer que les produits sont conçus et fabriqués conformément aux exigences essentielles de cybersécurité (ECR) de l'ARC
• Assurez-vous que les composants provenant de sources externes ne compromettent pas la sécurité du PDE
• Documenter et corriger les vulnérabilités en temps opportun
• Fournir un support de sécurité pendant cinq ans ou pendant la durée de vie du produit (selon la période la plus courte)
• Informer l'ENISA, l'agence de sécurité de l'UE, dans les 24 heures suivant la prise de connaissance d'une exploitation active d'une vulnérabilité ou d'un autre incident de sécurité, en lui fournissant des informations sur les mesures correctives.
• Fournissez des informations détaillées sur la manière d'installer les mises à jour du produit, à qui signaler les vulnérabilités et d'autres détails du fabricant
• Établir un processus d’évaluation de la conformité pour vérifier la conformité de l’ARC

Les importateurs devront être conscients de ce qui précède afin de remplir leurs obligations de garantir que seuls des EDE conformes sont vendus dans l'UE. L'ARC dispose d'une longue liste d'ECR énumérés à l'annexe I de la législation, qui sont conçues pour être ouvertes plutôt que axées sur les détails afin de rester pertinentes à mesure que la technologie évolue. Elles comprennent des exigences pour que les EDP soient :

• Produit exempt de vulnérabilités exploitables connues et avec une configuration sécurisée par défaut
• Conçu et fabriqué avec des niveaux de cybersécurité « appropriés » intégrés et de manière à réduire l'impact des incidents de sécurité
• Capable de protéger contre les accès non autorisés grâce à une authentification forte
• Capable de protéger la confidentialité des informations stockées, transmises ou traitées, par exemple via le cryptage
• Conforme aux principes de minimisation des données
• Conçu et produit avec une surface d'attaque limitée
• Conçu pour garantir que les vulnérabilités peuvent être corrigées via des mises à jour de produits, automatiquement lorsque cela est possible
• Produit parallèlement à une politique de divulgation des vulnérabilités

Il est temps de planifier

John Moor, directeur de l'IoT Security Foundation (IoTSF), explique que même s'il n'est pas encore temps de paniquer, les fabricants devront commencer à collaborer avec leurs chaînes d'approvisionnement pour déterminer comment les nouveaux produits seront conformes au CRA.

« Les produits sur le marché ne sont pas concernés pour l’instant, mais il faudra peut-être un plan de fin de vie », explique-t-il à ISMS.online. « Bien que le délai soit d’environ 36 mois, certaines dispositions seront mises en place plus tôt. Les fabricants de produits devront être conformes à cette date, et étant donné que tous les acteurs de la chaîne d’approvisionnement doivent en assumer la responsabilité, cela implique une planification à long terme. »

En plus de travailler avec ces partenaires de la chaîne d'approvisionnement, les fabricants doivent également évaluer si les processus internes sont adaptés à leur objectif du point de vue de la gestion des risques et de la vulnérabilité, soutient Moor.

« Nous en arrivons ensuite au produit lui-même. C’est là que les pratiques de sécurité et de respect de la vie privée dès la conception entrent en jeu. De nombreux fabricants connaissent déjà ces éléments au-delà des considérations traditionnelles de fonctionnalité, de performances et de consommation d’énergie », explique-t-il. « Où peuvent-ils trouver de l’aide ? Des consultants, des laboratoires de test et des organisations comme l’IoTSF. Nous avons été créés en 2015 et avons pu voir la direction que prenait le monde. Nous avons donc anticipé ce qui allait arriver et avons intégré des conseils, des processus et des méthodologies dans nos guides et nos outils. »

Comment ISO 27001 peut vous aider

Étant donné les exigences de conformité longues et rigoureuses de la CRA, les organisations peuvent également bénéficier du respect des normes de bonnes pratiques déjà établies en rapport avec la loi. Moor affirme que les normes de développement de produits ISO/SAE 21434 pour l'automobile et IEC/ISA 62443 pour les systèmes de contrôle industriel sont probablement les plus pertinentes. Cependant, d'autres experts affirment également qu'il existe un certain chevauchement avec la norme ISO 27001.

Adam Brown, consultant en sécurité chez Black Duck , déclare à ISMS.online que cela pourrait poser une « bonne base » pour les entreprises technologiques britanniques qui envisagent le CRA.

« L'approche systématique de la norme ISO 27001 en matière de gestion des risques, de développement sécurisé, de sécurité de la chaîne d'approvisionnement, de réponse aux incidents et de gestion du cycle de vie couvre de nombreux domaines sur lesquels la CRA met l'accent. Cependant, la norme ISO 27001 vise la sécurité organisationnelle tandis que la CRA vise les produits individuels », ajoute-t-il.

« Les organisations qui ont obtenu l'accréditation ISO comprennent l'évaluation des risques ; la CRA exige également une évaluation approfondie des risques par produit. Sécurisé par conception et par défaut : l'annexe 1(h) de la CRA exige que les produits soient conçus, développés et produits de manière à limiter les surfaces d'attaque, y compris les interfaces externes. De même, l'annexe A.27001 de la norme ISO 14 traite du développement et du support sécurisés des systèmes d'information, y compris de l'intégration de la sécurité tout au long du cycle de vie du développement logiciel. »

La bonne nouvelle est que l'alignement sur la norme ISO 27001 ne permettra pas seulement aux fabricants de réussir en matière de conformité CRA. Elle peut également contribuer à créer une base solide pour toute une série d'autres réglementations et exigences du secteur, de la NIS 2 au RGPD. Il est peut-être temps d'y jeter un œil.