Infographie: Les obligations de la Loi Cyber ​​Résilience pour les industriels

Les études le montrent bien : le nombre d’objets connectés augmente de manière exponentielle depuis quelques années. Aujourd’hui, on en compte 20 milliards. En 2025, ce sont plus de 75 milliards d’objets connectés qui seront déployés à travers le monde. Vertigineux, n’est-ce pas ?

Parallèlement, les cyber-attaques sont de plus en plus fréquentes… de même que leurs « succès » qui engendrent des coûts financiers élevés (on parle quand même de 5,5 milliards d’euros !) et nourrissent tout un écosystème autour du cyber-crime.

Dans ce contexte, la Commission Européenne a décidé d’agir en proposant un acte législatif afin de renforcer la sécurité des objets IoT. Souvent perçue comme une contrainte, l’arrivée d’une nouvelle réglementation offre pourtant une belle opportunité pour améliorer son environnement cyber.

Et le Cyber Resilience Act n’arrive pas seul, il est l’héritier d’une grande lignée de standards cyber (ISO 270001, FIPS 140, IEC 62443, EN 303645) et de standards réguliers (CE, RoHS & Radio Equipment Directive, ANSSI qualification, RGPD compliance, USA Patriot Act). D’autres standards sont à venir, tel que le RED cyber extension pour tous les nouveaux produits en 2024.

Le CRA rassemble un ensemble d’obligations pour les fabricants IoT (produits physiques, cloud et serveurs) :

Rien de sorcier si vous êtes bien accompagné…

1. Assurer le security-by-design durant tout le cycle de vie de votre produit ; des phases d’architecture aux phases d’exploitation, jusqu’au recyclage du produit
2. Qualifier l’ensemble des risques cyber liés au produit, en commençant par une analyse de risque et des menaces associées
3. Gérer les vulnérabilités avec un CVE tracker par exemple, et être organisé pour les corriger à temps
4. Adopter une vulnerability disclosure policy pour informer de manière transparente les utilisateurs lorsqu’il y a une vulnérabilité sur le produit
5. Fournir des patchs de sécurité, gratuitement, pour un minimum de 5 ans, dès lors que le produit est commercialisé
6. Permettre une mise à jour à distance obligatoire de tous les produits afin d’appliquer les correctifs de sécurité

Vous l’avez compris, le CRA, ce n’est pas une mince affaire… Cette nouvelle réglementation cybersécurité impose donc certains changements pour être conforme et répondre aux standards exigés.  La question n’est pas de savoir si votre système va se faire attaquer, mais de savoir quand et quels seront les impacts, alors mieux vaut être prêt !