Quels sont les enjeux du Cyber Resilience Act pour les acteurs européens de l’IT ?

Publié le 17 juillet 2024
3 minutes de lecture
Cyberattaque

En proie à une recrudescence de la cybercriminalité, les acteurs de l’écosystème numérique européen pourront pallier leurs faiblesses en termes de sécurité, avec la mise en application dans les prochains mois du Cyber Resilience Act (CRA). Une législation bienvenue mais qui n’est pas exempte de sources d’inquiétude.

Des systèmes encore trop vulnérables aux cyberattaques

Rien qu’en 2021, les cyberattaques ont causé d’importants préjudices financiers dans le monde, à hauteur de 5500 milliards de dollars, dans de nombreux secteurs sensibles (transports, santé, banques et infrastructures financières, infrastructures et fournisseurs de services numériques, etc.). Et pour cause : la majorité des produits matériels et logiciels (tels que des dispositifs de santé connectés, des cartes à puce ou encore des systèmes de transports autonomes) ne disposent aujourd’hui que d’un faible niveau de sécurité, avec une documentation souvent absente ou très légère. De plus, aucune législation européenne ne les couvrait jusqu’à maintenant en matière de cybersécurité1.

Le Cyber Resilience Act : Vers une protection informatique généralisée en Europe

Voté par le Parlement européen en mars dernier, le Cyber Resilience Act (CRA) entrera en vigueur dans le courant de l’année 2024 et garantira une cybersécurité généralisée au cœur de l’écosystème numérique en Europe à l’horizon 2027. Ce délais laissera le temps aux acteurs de la filière (fabricants, importateurs, distributeurs de matériel et de logiciels) de modifier leurs pratiques pour s’adapter à ces nouveaux impératifs.

Cette loi sur la cyber-résilience doit notamment assurer aux professionnels européens de l’IT la mise en place d’un cadre d’exigences en termes de cybersécurité pour gérer la planification, la conception, le développement et la maintenance des produits et logiciels. Pendant le cycle de vie complet des produits, l’objectif est donc de vérifier que les différents acteurs impliqués demeurent vigilants, avec entre autres des obligations relatives à « l’assistance en matière de sécurité et la fourniture de mises à jour de sécurité »2.

Le marquage CE indiquera que tel ou tel logiciel respecte les nouvelles normes et renforcera la confiance des clients et entreprises vis-à-vis des fabricants et détaillants au moment du choix d’un logiciel3.

« La multiplication de ce type de normes, tant au niveau français qu’européen, nous oblige à faire preuve de vigilance chez OpenStudio. La première étape est évidemment de faire une veille juridique la plus exhaustive possible, notamment via le réseau que nous avons tissé avec nos différents partenaires. Puis, dans un second temps et pour les sujets qui nous concernent (AI Act, CRA), il convient de démêler des règles parfois complexes afin d’en extraire les impacts concrets pour notre activité. Les sujets concernés sont assez variés : il peut s’agir de la réglementation en matière d’intelligence artificielle, mais aussi de l’utilisation de certains outils : Je pense notamment à « Google Analytics », outil très connu des ESN dont la validité a un temps été contestée par les institutions françaises et européennes, ou encore des questions relatives à la protection des données personnelles. »

Jérémy Boiraud, juriste chez OpenStudio

Des défis et inquiétudes autour du CRA

Les avancées envisagées dans le cadre du Cyber Resilience Act vont faire peser une forte pression sur les développeurs de produits mais aussi causer des difficultés pour réussir à recruter un nombre suffisant d’évaluateurs sur tous les types de systèmes numériques ainsi que des experts en cybersécurité. Il faudra aussi être en mesure de s’adapter à la complexité grandissante des cyberattaques, des logiciels et à l’évolution de leurs modes de production. Sur ce sujet des perspectives de solution existent : le projet SecurEval effectue par exemple des travaux de recherche en techniques d’analyse de code pour sécuriser les systèmes et composants existants4.

Les acteurs de l’open source s’inquiètent également de la prochaine mise en vigueur du CRA. Pour le Conseil National du Logiciel Libre (CNLL), il y a un risque d’assister à un effet extrêmement dissuasif à la fois sur le développement et l’usage des logiciels libres à l’échelle européenne. Les ambitions de l’UE sur le plan de l’innovation ou de la souveraineté numérique seraient alors remises en question. Le CNLL pointe du doigt l’absence de prise en compte des « besoins et perspectives uniques » des logiciels open source dans le cadre du CRA. La communauté du libre a aussi regretté qu’elle n’ait pas été davantage sollicitée dans l’élaboration de cette loi européenne. Pourtant, 70 % des logiciels intégrés au sein des produits numériques européens sont des logiciels libres5.

Le CRA et l’AI Act : des législations européennes complémentaires pour sécuriser les systèmes d’IA

L’AI Act, adopté en mai 2024 par le Conseil européen, prévoit des obligations (parmi tant d’autres) en matière de cybersécurité, notamment pour les systèmes d’IA qu’il qualifie comme « à haut risque », c’est-à-dire ceux ayant un impact négatif sur la sécurité ou les droits fondamentaux6. Dans un objectif de complémentarité entre législations dans un avenir proche, un système d’IA désigné comme « à haut risque » qui satisferait en premier lieu aux exigences du CRA sera alors ainsi considéré comme conforme aux règles de cybersécurité inscrites dans l’AI Act. Cette volonté de cohérence entre les différents règlements européens apparaît en effet comme une préoccupation majeure des instances européennes.

Sources :

1 :  https://theconversation.com/leurope-veut-sarmer-contre-la-cybercriminalite-avec-le-cyber-resilience-act-228558 

2 :  https://eur-lex.europa.eu/resource.html?uri=cellar:864f472b-34e9-11ed-9c68-01aa75ed71a1.0024.02/DOC_1&format=PDF 

3 : https://digital-strategy.ec.europa.eu/fr/policies/cyber-resilience-act 

4 : https://theconversation.com/leurope-veut-sarmer-contre-la-cybercriminalite-avec-le-cyber-resilience-act-228558 

5 : https://www.zdnet.fr/blogs/l-esprit-libre/le-cyber-resilience-act-un-projet-europeen-qui-inquiete-les-acteurs-du-logiciel-libre-39957466.htm 

6 :  https://www.europarl.europa.eu/topics/fr/article/20230601STO93804/loi-sur-l-ia-de-l-ue-premiere-reglementation-de-l-intelligence-artificielle#loi-sur-lia–des-rgles-diffrentes-pour-diffrents-niveaux-de-risque-1