Avec l’entrée en vigueur du règlement sur la cyberrésilience (Cyber Resilience Act, CRA) le 11 décembre 2027, les exigences en matière de cybersécurité des produits seront considérablement renforcées dans l’UE. Pour les entreprises industrielles, cela signifie que l’accès au marché européen sera désormais soumis à des exigences de sécurité contraignantes.
⚖️Mise en contexte réglementaire
Cyberrésilience : la sécurité comme principe de conception
La « cyberrésilience » n’est pas synonyme de sécurité absolue, mais plutôt de robustesse et de résistance : les systèmes doivent résister aux attaques et être rapidement remis en état de fonctionnement après un incident.
Le CRA rend obligatoire la sécurité dès la conception : les fabricants doivent systématiquement intégrer la sécurité à chaque étape du développement, de la conception à la maintenance. La cybersécurité passe ainsi du statut de complément en aval à celui de principe de conception fondamental.
Les mises à jour de sécurité pendant toute la durée d’utilisation prévue constituent un autre facteur clé.
L’utilisation répandue des bibliothèques logicielles est à la fois une malédiction et une bénédiction : une seule vulnérabilité peut affecter simultanément de nombreux produits. Dans le même temps, grâce à une vérification permanente par les communautés de développeurs, les bibliothèques établies offrent souvent une meilleure qualité de sécurité que les développements propres isolés. Il est essentiel que les mises à jour de sécurité puissent être fournies rapidement et mises en œuvre à grande échelle.
Un exemple :
Un appareil de mesure avec écran sans interface dispose certes d’éléments numériques, mais n’est pas connecté. Toutefois, dès lors qu’il existe une capacité de communication dans le cadre d’une utilisation normale ou raisonnablement prévisible, le règlement s’applique.
Le CRA ne s’applique pas rétroactivement aux produits mis sur le marché avant le 11 décembre 2027. Toutefois, si des modifications importantes sont apportées à un produit existant après la date butoir, le règlement s’applique.
En principe, c’est le fabricant qui est responsable de la conformité CE. Dans la pratique, cependant, les exigences seront répercutées tout au long de la chaîne d’approvisionnement. Les fournisseurs B2B devraient donc eux aussi se pencher sur cette question dès maintenant.
⚡Ce que les entreprises devraient faire maintenant
Autrice et auteur
Barbara Hirtz (ingénieure mécanicienne diplômée EPF) travaille chez SCS AG depuis 2023 et a largement contribué au développement de l’atelier « CRA Jumpstart » de SCS. Elle possède une longue expérience en tant que cheffe de projet et cheffe de produit dans différents secteurs industriels.