FAQ

Le règlement sur la cyber-résilience est une proposition législative de la Commission européenne (elle n'est pas encore officiellement adoptée) visant à renforcer la cyber-sécurité des appareils connectés (IdO) distribués sur le marché européen.

The legislation imposes mandatory cybersecurity features on both manufacturers and developers of IoT products. In order to ensure their products’ cyber resilience throughout their lifespan. It also gives more control to users by mandating manufacturers to provide them with free and automatic security updates and information about security risks.

The CRA was passed on the 10th of October 2024 and published in the European Official Journal on the 20th of November 2024.

It officially entered into force on December 10th 2024.

À compter de son adoption, un délai de 21 mois est prévu avant l'entrée en vigueur des obligations de notification aux utilisateurs en cas de cyber attaque, suivi d'un délai supplémentaire de 15 mois avant l'application des exigences techniques (soit un total de 36 mois après l'entrée en vigueur totale de la législation).

Une approche courante consiste à utiliser un outil d'analyse de composition logicielle. Ce genre d'outil peut générer une nomenclature des composants logiciels (SBOM) qui liste tous les composants logiciels de l'application, ainsi que leurs noms, versions et fournisseurs.

Une autre approche consiste à collecter manuellement les informations sur les composants logiciels d'un produit. Cependant, ce processus peut être chronophage. Il peut être réalisé en examinant le code source du produit, les fichiers d'installation et la documentation.

La cyber-résilience désigne la capacité des individus et des organisations à résister, à se rétablir et à s'adapter aux cyberattaques. Elle offre également plusieurs avantages, notamment :

La cyber-résilience repose sur cinq piliers fondamentaux. En les mettant en œuvre, les organisations peuvent renforcer leur capacité à résister aux cyberattaques. Voici ces cinq piliers :

1. Identification : Comprendre les actifs d'une entreprise, mais aussi leurs menaces et leurs vulnérabilités.
2. Protection : Mettre en œuvre des contrôles de sécurité pour protéger les actifs identifiés.
3. Détection : Surveiller de la manière continue les systèmes et les réseaux pour tout signe de cyber-attaques.
4. Réponse : Disposer d'un plan d'intervention en cas de cyber-attaque, tel que l'isolement des systèmes affectés, la limitation des dommages et la restauration des opérations.
5. Reprise d'activité : Disposer d'un plan de reprise d'activité après une cyber-attaque, tel que la restauration des données, la reconstruction des systèmes et la compensation des pertes pour les utilisateurs.