FAQ

Le règlement sur la cyber-résilience est une proposition législative de la Commission européenne (elle n'est pas encore officiellement adoptée) visant à renforcer la cyber-sécurité des appareils connectés (IdO) distribués sur le marché européen.

Une fois adoptée, la législation sur la cyber-résilience imposera des fonctionnalités de cybersécurité obligatoires aux fabricants et aux développeurs de produits IdO (Internet des objets). Cela vise à garantir la cyber-résilience de leurs produits tout au long de leur cycle de vie. Elle permettra également aux utilisateurs d'avoir plus de contrôle sur leurs produits en obligeant les fabricants à leur fournir gratuitement et automatiquement des mises à jour de sécurité ainsi que des informations sur les risques de sécurité.

The CRA has not yet been passed, though we expect it to be signed into law in Q2 or Q3 2024.

Une fois adopté, le règlement sera publié au Journal officiel de l'Union européenne.

À compter de son adoption, un délai de 21 mois est prévu avant l'entrée en vigueur des obligations de notification aux utilisateurs en cas de cyber attaque, suivi d'un délai supplémentaire de 15 mois avant l'application des exigences techniques (soit un total de 36 mois après l'entrée en vigueur totale de la législation).

Une approche courante consiste à utiliser un outil d'analyse de composition logicielle. Ce genre d'outil peut générer une nomenclature des composants logiciels (SBOM) qui liste tous les composants logiciels de l'application, ainsi que leurs noms, versions et fournisseurs.

Une autre approche consiste à collecter manuellement les informations sur les composants logiciels d'un produit. Cependant, ce processus peut être chronophage. Il peut être réalisé en examinant le code source du produit, les fichiers d'installation et la documentation.

La cyber-résilience désigne la capacité des individus et des organisations à résister, à se rétablir et à s'adapter aux cyberattaques. Elle offre également plusieurs avantages, notamment :

La cyber-résilience repose sur cinq piliers fondamentaux. En les mettant en œuvre, les organisations peuvent renforcer leur capacité à résister aux cyberattaques. Voici ces cinq piliers :

1. Identification : Comprendre les actifs d'une entreprise, mais aussi leurs menaces et leurs vulnérabilités.
2. Protection : Mettre en œuvre des contrôles de sécurité pour protéger les actifs identifiés.
3. Détection : Surveiller de la manière continue les systèmes et les réseaux pour tout signe de cyber-attaques.
4. Réponse : Disposer d'un plan d'intervention en cas de cyber-attaque, tel que l'isolement des systèmes affectés, la limitation des dommages et la restauration des opérations.
5. Reprise d'activité : Disposer d'un plan de reprise d'activité après une cyber-attaque, tel que la restauration des données, la reconstruction des systèmes et la compensation des pertes pour les utilisateurs.