LACROIX Impulse

IoT

Une nouvelle loi, ça fait du bruit…
La cybersécurité, ça fait aussi du bruit…
Le Cyber Resilience Act, ça fait aussi beaucoup de bruit…

C’est pour ces raisons que nous aussi, on a décidé de faire du bruit autour de cette nouvelle règlementation qui touche la cybersécurité. Plus concrètement, on souhaite mettre la lumière sur ce qui va changer pour les industriels avec le Cyber Resilience Act.

Qu’est ce que le CYBER RESILIENCE ACT?
 

Infographie_Cyber_Resilience_Act_Decriptage

Quel est le contexte derrière la loi sur la cyber-résilience?

Les études le montrent bien : le nombre d’objets connectés augmente de manière exponentielle depuis quelques années. Aujourd’hui, on en compte 20 milliards. En 2025, ce sont plus de 75 milliards d’objets connectés qui seront déployés à travers le monde. Vertigineux, n’est-ce pas ?

Parallèlement, les cyber-attaques sont de plus en plus fréquentes… de même que leurs « succès » qui engendrent des coûts financiers élevés (on parle quand même de 5,5 milliards d’euros !) et nourrissent tout un écosystème autour du cyber-crime.

Dans ce contexte, la Commission Européenne a décidé d’agir en proposant un acte législatif afin de renforcer la sécurité des objets IoT. Souvent perçue comme une contrainte, l’arrivée d’une nouvelle réglementation offre pourtant une belle opportunité pour améliorer son environnement cyber.

Et le Cyber Resilience Act n’arrive pas seul, il est l’héritier d’une grande lignée de standards cyber (ISO 270001, FIPS 140, IEC 62443, EN 303645) et de standards réguliers (CE, RoHS & Radio Equipment Directive, ANSSI qualification, RGPD compliance, USA Patriot Act). D’autres standards sont à venir, tel que le RED cyber extension pour tous les nouveaux produits en 2024.

BIEN SE PREPARER A L’ENTREE EN VIGUEUR DU CYBER RESILIENCE ACT

Quelles sont les obligations de la Loi Cyber ​​Résilience pour les industriels?

Le CRA rassemble un ensemble d’obligations pour les fabricants IoT (produits physiques, cloud et serveurs) :

Rien de sorcier si vous êtes bien accompagné…

  1. Assurer le security-by-design durant tout le cycle de vie de votre produit ; des phases d’architecture aux phases d’exploitation, jusqu’au recyclage du produit
  2. Qualifier l’ensemble des risques cyber liés au produit, en commençant par une analyse de risque et des menaces associées
  3. Gérer les vulnérabilités avec un CVE tracker par exemple, et être organisé pour les corriger à temps
  4. Adopter une vulnerability disclosure policy pour informer de manière transparente les utilisateurs lorsqu’il y a une vulnérabilité sur le produit
  5. Fournir des patchs de sécurité, gratuitement, pour un minimum de 5 ans, dès lors que le produit est commercialisé
  6. Permettre une mise à jour à distance obligatoire de tous les produits afin d’appliquer les correctifs de sécurité

Vous l’avez compris, le CRA, ce n’est pas une mince affaire… Cette nouvelle réglementation cybersécurité impose donc certains changements pour être conforme et répondre aux standards exigés.  La question n’est pas de savoir si votre système va se faire attaquer, mais de savoir quand et quels seront les impacts, alors mieux vaut être prêt !

Si le CRA vous passionne, on vous invite à découvrir notre conférence PizzaIoT #2 «Cybersecurity Act, quels impacts sur mon projet IoT?». La bonne nouvelle, cest que le replay vidéo est disponible.   

Accéder au replay de la conférence