European flag

FAQ

Foire aux questions sur la Législation sur la cyber-résilience et la cyber-résilience en général.

Le règlement sur la cyber-résilience est une proposition législative de la Commission européenne (elle n'est pas encore officiellement adoptée) visant à renforcer la cyber-sécurité des appareils connectés (IdO) distribués sur le marché européen.

Une fois adoptée, la législation sur la cyber-résilience imposera des fonctionnalités de cybersécurité obligatoires aux fabricants et aux développeurs de produits IdO (Internet des objets). Cela vise à garantir la cyber-résilience de leurs produits tout au long de leur cycle de vie. Elle permettra également aux utilisateurs d'avoir plus de contrôle sur leurs produits en obligeant les fabricants à leur fournir gratuitement et automatiquement des mises à jour de sécurité ainsi que des informations sur les risques de sécurité.

The CRA has not yet been passed, though we expect it to be signed into law in Q2 or Q3 2024.

Une fois adopté, le règlement sera publié au Journal officiel de l'Union européenne.

À compter de son adoption, un délai de 21 mois est prévu avant l'entrée en vigueur des obligations de notification aux utilisateurs en cas de cyber attaque, suivi d'un délai supplémentaire de 15 mois avant l'application des exigences techniques (soit un total de 36 mois après l'entrée en vigueur totale de la législation).

Une approche courante consiste à utiliser un outil d'analyse de composition logicielle. Ce genre d'outil peut générer une nomenclature des composants logiciels (SBOM) qui liste tous les composants logiciels de l'application, ainsi que leurs noms, versions et fournisseurs.

Une autre approche consiste à collecter manuellement les informations sur les composants logiciels d'un produit. Cependant, ce processus peut être chronophage. Il peut être réalisé en examinant le code source du produit, les fichiers d'installation et la documentation.

La cyber-résilience désigne la capacité des individus et des organisations à résister, à se rétablir et à s'adapter aux cyberattaques. Elle offre également plusieurs avantages, notamment :

  • la protection des données et des systèmes contre les accès ou les manipulations non autorisés,
  • la réduction des pertes financières et des atteintes à la réputation,
  • l'augmentation de la confiance et de la satisfaction des clients.
  • La cyber-résilience repose sur cinq piliers fondamentaux. En les mettant en œuvre, les organisations peuvent renforcer leur capacité à résister aux cyberattaques. Voici ces cinq piliers :

    1. Identification : Comprendre les actifs d'une entreprise, mais aussi leurs menaces et leurs vulnérabilités.
    2. Protection : Mettre en œuvre des contrôles de sécurité pour protéger les actifs identifiés.
    3. Détection : Surveiller de la manière continue les systèmes et les réseaux pour tout signe de cyber-attaques.
    4. Réponse : Disposer d'un plan d'intervention en cas de cyber-attaque, tel que l'isolement des systèmes affectés, la limitation des dommages et la restauration des opérations.
    5. Reprise d'activité : Disposer d'un plan de reprise d'activité après une cyber-attaque, tel que la restauration des données, la reconstruction des systèmes et la compensation des pertes pour les utilisateurs.

    LA MISE EN CONFORMITÉ

    Je suis un fabricant d'appareils connectés

    Les fabricants d'appareils connectés sont les premiers concernés par la mise en conformité.

    Lisez nos guides pratiques sur ce que vous devez faire, le temps dont vous disposez pour vous mettre en conformité et les conséquences juridiques de la non-conformité.

    Je suis un éditeur de logiciels

    Si les logiciels libres ne relèvent pas, pour l'instant, de la loi sur la cyber-résilience, les logiciels commerciaux qui comprennent des solutions de traitement de données à distance devront être conformes à la loi.

    Lisez nos guides pratiques pour comprendre ce que vous devez faire.

    J'importe / je distribue / je revends

    Les importateurs, les distributeurs et les revendeurs de dispositifs connectés sont soumis à de nombreuses exigences en vertu de la loi sur la cyber- résilience et, dans certaines circonstances, peuvent même être considérés comme des fabricants.

    Nos guides détaillent les responsabilités de ces acteurs.