La Commission européenne vient de publier sa proposition de loi sur la cyberrésilience… qui s’appuie sur plusieurs textes en cours d’élaboration.
Qu’est-ce qui relève précisément du domaine des « éléments sécurisés » ? des « microprocesseurs à usage général » ? des « logiciels qui recherchent, suppriment ou mettent en quarantaine des logiciels malveillants » ? Ne cherchez pas de définition dans la proposition de loi sur la cyberrésilience que la Commission européenne a présentée la semaine dernière.
Tous ces éléments décrits dans l’annexe III. Celle-ci répertorie des éléments – plusieurs dizaines – traduites comme « critiques ». Les produits dont leur composant le cœur fonctionnel seront soumis à des exigences particulières dans l’optique d’une mise sur le marché.
Les éventuelles précisions terminologiques se font a postériori, par actes délégués. Si possible dans un délai d’un an après l’entrée en vigueur du texte, avance la Commission européenne.
Des incertitudes, il en pèse aussi concernant les multiples renvois vers des textes en cours d’élaboration. L’AI Act en fait partie*. Tout comme les schémas européens de cybersécurité, aucun n’est finalisé pour le moment.
Une certaine idée des systèmes critiques
La loi sur la cyberrésilience s’inscrit dans le « nouveau cadre législatif » européen. À ce titre, elle offre aux parties concernées de la flexibilité dans le choix des moyens utilisés pour se conformer aux exigences essentielles. Les certificats de sécurité en font partie, aux côtés des normes harmonisées et des spécifications techniques communes.
Le choix vaut aussi pour les procédures d’évaluation de conformité… dans une certaine mesure. En particulier si les produits qu’on souhaite mettre sur le marché présentent un haut niveau de risque. De manière générale, serait dans ce cas ceux qui présentent au moins un des attributs suivants :
– Conçu pour fonctionner avec un niveau élevé de privilèges ou pour gérer des privilèges
– Accès direct ou privilégié à des ressources de réseau ou de calcul
– Conçu pour contrôler l’accès à des données ou de la technologie opérationnelle
– Remplir une fonction critique pour la confiance ; en particulier des fonctionnalités de sécurité de type protection du réseau et des terminaux
La qualification de « critique » peut aussi s’appliquer aux usages en environnement industriel ou par des entités « essentielles » au sens de la directive NIS2. Il peut aussi découler des risques précédemment observés dans une catégorie de produits ou de l’observation de l’ampleur potentielle d’une attaque.
Au moins 5 ans de correctifs
La Commission européenne envisage deux classes d’éléments « critiques ». Celle qui présente les risques les plus évoqués inclut notamment :
– Systèmes d’exploitation (serveur, mobiles et de bureau)
– Hyperviseurs et plaques-formes de conteneurs
– Infrastructures à clé publique
– Carte à puce
– HSM
– Compteurs connectés
– Contrôleurs robotiques
– IdO industriel
Pour les produits pertinents de cette classe, les exigences sont plus fortes en matière d’évaluation de conformité. Il faut, entre autres, obligatoirement faire intervenir un tiers.
Quel que soit le niveau de risque, un délai à retenir : 5 ans. C’est la période pendant laquelle le fabricant d’un produit devra, à compter de la mise sur le marché, gérer les vulnérabilités (ou moins si le cycle de vie du produit est plus court). On passe à 10 ans pour ce qui est de maintenir la documentation technique à disposition des autorités.
Des amendes jusqu’à 2,5 % du chiffre d’affaires mondial
Les obligations des fabricants s’appliqueront aux importateurs et aux distributeurs sous certaines conditions. Plus précisément lorsqu’ils commercialisent des produits sous leur marque ou qu’ils effectuent une modification « substantielle ». Un cas applicable autant aux personnes physiques qu’aux personnes morales.
Qu’en est-il des sanctions ? Les États membres fixent le montant des amendements administratifs, avec trois plafonds de référence.
Pour non-conformité avec des exigences de sécurité (annexe I et articles 10 et 11), jusqu’à 15 M€ ou 2,5 % du CA mondial sur le dernier exercice fiscal.
Pour non-conformité avec d’autres exigences, jusqu’à 10 M€ ou 2 %.
En cas de fourniture d’informations incorrectes, incomplètes ou trompeuses aux autorités compétentes, jusqu’à 5 M€ ou 1 %.
L’entrée en application de la loi interviendrait deux ans après son entrée en vigueur.
* Pour les produits mis en œuvre des IA parvenant comme « à risque », la procédure d’évaluation sera celle inscrite dans l’AI Act.
Photo d’illustration © garrykillian – Adobe Stock