RiskInsight

Le blog cybersécurité des consultants Wavestone

​​Radio Equipment Directive : Une première brique vers la sécurisation des produits connectés européens​

L’Internet des objets (IoT) est un secteur en pleine expansion, avec une adoption croissante dans de nombreux domaines. Des usines de production (industrie 4.0) jusqu’aux habitations (domotique), en passant par ce que nous portons (smartphone ou montre connectée), les objets connectés nous entourent. 

La directive RED (Radio Equipment Directive) instaure un cadre européen pour réguler tout équipement communiquant via des ondes radio. Cela inclut tout équipement utilisant du Wi-Fi, Bluetooth, LoRaWAN ou encore de la 4G/5G par exemple. 

À cet égard, la date du 1er août 2025 marque une échéance clé : à compter de cette date, les obligations de cybersécurité de la RED deviennent obligatoires ! Les opérateurs économiques (fabricants, importateurs et distributeurs) qui ne respecteront pas ces exigences s’exposent à des sanctions pouvant aller du retrait du produit sur le marché européen jusqu’à des amendes administratives importantes, selon la législation en vigueur dans chaque État membre.  

Cet article vise à déchiffrer cette directive, afin d’en extraire les grandes informations à retenir. Et si vous êtes en retard dans votre mise en conformité, vous pourrez trouver ici des informations sur comment vous lancer ! 

Qu’est-ce que la RED ? 

Adoptée en juin 2014, la RED (2014/53/EU) vise à harmoniser la mise sur le marché des équipements radio au sein de l’Union européenne. Son objectif premier est de garantir la conformité des dispositifs émettant ou recevant des ondes radio (comme les smartphones ou des routeurs Wi-Fi) en matière de santé, de sécurité, de compatibilité électromagnétique, et d’usage efficace du spectre radioélectrique. 

Ce n’est cependant qu’à partir de 2022 que la cyber est intégrée dans la RED, près de 8 ans après sa création. En effet, l’introduction du délégué d’acte 2022/30 a marqué une nouvelle phase, ajoutant des exigences spécifiques visant à renforcer la résilience des équipements radio face aux menaces numériques.  

Quel est le périmètre d’application de la RED ? 

Définition d’un équipement radio 

Selon l’article 2.1.1 de la directive RED, un équipement radio est défini comme : 
« un produit électrique ou électronique qui émet et/ou reçoit intentionnellement des ondes radio à des fins de radiocommunication et/ou de radiorepérage ». 

Concrètement, cela englobe tout dispositif utilisant des protocoles de communication sans fil tels que Wi-Fi, Bluetooth, Zigbee, LTE, 5G, NFC ou encore LoRa pour transmettre ou recevoir des données via le spectre radio. 

Ces technologies sont à la base de nombreux équipements du quotidien, notamment dans le domaine de la domotique ou de l’Internet des objets (IoT). Entrent ainsi dans le champ d’application de la directive RED un très large éventail de produits. 

Secteurs d’exclusion 

La directive RED ne s’applique pas à tous les équipements radio. Certaines catégories sont explicitement exclues de son champ d’application, notamment pour des raisons de souveraineté, de cadre réglementaire spécifique ou de cadre d’usage. 

Les secteurs soumis à leur propre règlementation : 

  • Les équipements marins : sont exclus les équipements déjà soumis à la directive MED (Marine Equipement Directive) 
  • Les équipements aéronautiques : sont exclus les équipements déjà soumis à la réglementation CRFCA (Common Rules in the Field of Civil Aviation) 
  • Les équipements automobiles : sont exclus les équipements déjà soumis à la réglementation GSR II (New General Safety Regulation) 
  • La défense et la sécurité publique : dispositifs utilisés par les autorités nationales dans le cadre de la défense nationale ou toute activité de sécurité publique 

Les équipements à but non commercial :  

  • Les équipements de recherche personnalisés (R&D) : fabriqués sur mesure pour des fins expérimentales, non destinés à une mise sur le marché standard 
  • Les équipements radioamateurs : lorsque ceux-ci ne sont pas mis sur le marché, mais construits et utilisés par des amateurs dans un cadre non commercial

Qui sont les acteurs économiques soumis et quelles sont leurs responsabilités ? 

La directive RED ne concerne pas uniquement les fabricants d’équipements radio. La RED s’applique à l’ensemble de la chaîne d’approvisionnement, de la conception à la mise sur le marché. Chaque acteur économique joue un rôle clé pour garantir la conformité, la sécurité et la fiabilité des produits. Pour ce faire, la RED définit des exigences distinctes selon 3 grandes catégories d’acteurs : les fabricants, les importateurs et les distributeurs. 

Il est important de noter qu’une même entreprise peut cumuler plusieurs de ces rôles à la fois, et que cela peut varier pour une même entreprise d’une gamme de produits à une autre.  

Fabricant

Le fabricant est en première ligne. Il est celui qui conçoit, produit ou apporte sa marque sur un produit éligible. Il porte à ce titre la majeure partie des actions de mise en conformité des produits à la RED. Il doit : 

  • Mettre le produit en conformité avec les exigences essentielles de la RED 
  • Veiller à ce que le produit reste conforme en cas de modifications 
  • Lorsqu’approprié à la vue des risques, il effectue des tests par échantillonnage, tient un registre des tests et tient informé les distributeurs de l’historique des tests 
  • Réaliser ou faire réaliser une évaluation de conformité 
  • Fournir une déclaration UE de conformité 
  • Apposer le marquage CE 
  • Établir la documentation technique et les instructions utilisateur et la conserver 10 ans 
  • Retirer du marché voire rappeler un produit en cas de non-conformité 
  • Communiquer avec les autorités en cas de non-conformité constatée ou sur demande 

Importateur 

Lorsqu’un produit est fabriqué hors de l’UE, l’importateur est l’acteur responsable de son acheminement depuis son pays d’origine vers l’intérieur de l’UE. Il devient responsable de sa conformité au moment de son entrée sur le marché européen. Il doit : 

  • Lorsqu’approprié à la vue des risques, il effectue des tests par échantillonnage, tient un registre des tests et tient informé les distributeurs de l’historique des tests 
  • S’assurer que le stockage et le transport des produits n’altèrent pas leur conformité 
  • S’assurer que le fabricant ait utilisé une méthode de certification autorisée 
  • Vérifier la présence du marquage CE 
  • S’assurer de la conformité de la documentation technique, la déclaration de conformité et les instructions utilisateur fournie et en conserver une copie pendant 10 ans 
  • Retirer du marché voire rappeler un produit en cas de non-conformité 
  • Communiquer avec le fabricant et les autorités en cas de non-conformité constatée ou sur demande 

Distributeur 

Le distributeur est l’acteur mettant le produit à disposition sur le marché auprès du client ou utilisateur du produit. Il a un devoir de vigilance vis-à-vis du travail réaliser en amont par le fabricant et l’importateur. Il doit : 

  • S’assurer que le stockage et le transport des produits n’altèrent pas leur conformité 
  • Vérifier la présence du marquage CE et la présence d’une déclaration UE de conformité 
  • S’assurer de la conformité de la documentation technique et les instructions utilisateur 
  • Retirer du marché voire rappeler un produit en cas de non-conformité 
  • Communiquer avec le fabricant, l’importateur et les autorités en cas de non-conformité constatée ou sur demande

Quelles sont les exigences essentielles de cybersécurité ?  

La RED ajoute en 2022 4 exigences essentielles de cybersécurité. Ces exigences présentent des critères d’éligibilité en fonction de caractéristiques du produit et ne sont donc pas toutes exigibles pour tout produit. Les exigences représentent d’avantage des concepts de sécurité à intégrer qu’une liste précise de mesures de sécurité à implémenter. 

Sécurité Réseau 

Critère d’éligibilité : Concerne tous les équipements connectés à Internet, de manière directe ou indirecte. Il s’agit d’éviter que ces dispositifs ne compromettent la stabilité ou la performance du réseau. 

Requis cyber : D’une part, les équipements doivent être conçus pour utiliser le spectre radio de manière efficace, sans provoquer d’interférences nuisibles. Cela permet d’assurer une cohabitation harmonieuse entre différents appareils sans brouillage ni perturbation. D’autre part, ils ne doivent pas être capables de dégrader, perturber ou détourner le fonctionnement du réseau. 

Protection des données 

Critère d’éligibilité : S’applique uniquement aux équipements qui traitent des données personnelles. Elle vise à garantir le respect de la vie privée des utilisateurs. 

Requis cyber : Les appareils doivent intégrer des mécanismes de protection des données comme le chiffrement, afin d’empêcher tout accès non autorisé. Il s’agit non seulement de sécuriser les informations en transit mais également durant leur stockage. 

Protection contre la fraude 

Critère d’éligibilité : S’adresse spécifiquement aux équipements impliqués dans des transferts d’argent, comme les terminaux de paiement ou certains smartphones. Il s’agit de limiter le risque de fraude via ces équipements. 

Requis cyber : Le règlement impose l’intégration de fonctionnalités d’antifraude, sans prescrire de solution unique. Parmi les approches possibles, l’authentification multifacteur (MFA) peut constituer une mesure efficace, en ajoutant une couche de sécurité supplémentaire lors des transactions. Toutefois, d’autres mécanismes peuvent également être envisagés, en fonction du contexte d’usage et du niveau de risque identifié. 

Authenticité du logiciel 

Critère d’éligibilité : Concerne tous les équipements. Cela vise à empêcher l’installation ou l’exécution de logiciels non autorisés pour un équipement donné. 

Requis cyber : Mettre en place des fonctionnalités de vérification de la combinaison logiciel et matériel préalablement à toute installation. Cela peut passer par du secure boot, de la vérification de signature/certificat, de la vérification de hash ou toute autre méthode permettant de s’en assurer.

 

Comment se conformer à la RED ? 

Méthodes de mise en conformité 

La conformité à la directive RED peut rapidement devenir un exercice complexe, notamment lorsqu’il s’agit de déterminer les exigences applicables en matière de cybersécurité. Pour ce faire le CENELEC a publié début 2025 le standard harmonisé associé à la RED : l’EN 18031. Ce standard permet de préciser les exigences et il fournit un cadre officiel pour sa mise en conformité RED. 

Cependant il est important de souligner que l’utilisation de l’EN 18031 n’est pas obligatoire. Certifier son produit conforme à l’EN18031 est seulement l’une des manières de mettre un produit en conformité avec le CRA. Un arbre de décision fournit par la RED permet de définir, en fonction du produit, quelle méthode de mise en conformité est autorisée. L’une d’entre-elles consiste en un self-assessment, c’est-à-dire une autoévaluation de la conformité aux exigences essentielles, à condition de documenter rigoureusement les mesures techniques mises en place et les justifications associées. 

Toutefois, il est important de noter que ces outils (EN18031 et arbres de décision), bien que très utiles restent complexes dans leur mise en œuvre dû à une marge laissée à l’interprétation sur certains aspects.

Démarche type pour un fabricant 

De l’expérience de Wavestone en matière de projets de mise en conformité cyber à des règlementations, et plus précisément des règlementations ciblant des produits, nous vous proposons un cadrage en 10 grandes étapes : 

  1. Inventaire : Réaliser un inventaire des équipements radio commercialisés en UE et ne faisant pas partie des secteurs exclus 
  2. Exigences : Appliquer les critères d’éligibilité par produit pour identifier les exigences essentielles applicables 
  3. Stratégie : Appliquer l’arbre de décision pour identifier les méthodes de certification possibles et valider la stratégie retenue par produit en fonction des risques 
  4. Référentiel : Préciser (EN18031) ou traduire (texte de loi) le référentiel utilisé en mesures de sécurité concrètes au format point de contrôle auditable  
  5. Ecarts : Comparer l’état actuel des produits et processus aux points de contrôle du référentiel utilisé pour en tirer un plan de remédiation 
  6. Remédiation : Mettre en œuvre le plan de remédiation à la maille produit et transverse afin d’en assurer un maintien dans le temps 
  7. Documentation : Documenter et justifier les choix entrepris et les actions réalisées au regard des exigences de la RED et/ou de l’EN18031 
  8. Instructions : Documenter les bonnes pratiques d’utilisation et les consignes de sécurité afin de garantir une exploitation conforme aux exigences 
  9. Self-assessment / Certification tierce : Réaliser un self-assessment ou un audit via un organisme de certification en fonction de la stratégie adoptée 
  10. Communication : Apposer le marquage CE et faire l’interface avec les autorités et les autres acteurs économiques impliqués 

Comment la RED s’inscrit-elle dans le panorama réglementaire cyber produit ? 

La directive RED et le Cyber Resilience Act (CRA) partagent clairement un terrain commun. Si vous ne connaissez pas encore le CRA, vous pouvez en consulter un décryptage ici. Le périmètre d’application de la RED est inclus dans le CRA et les exigences essentielles du CRA vont au-delà de ce qui est demandé par la RED. En ce sens, une conformité au CRA induit une conformité à la RED. Le CRA entrant pleinement en application en décembre 2027, il y aurait des réflexions au niveau européen pour que les exigences cyber de la RED ne s’appliquent que jusqu’à cette date et que le CRA prenne ensuite la relève. Cela ferait en effet sens mais aucune communication officielle en ce sens n’a à ce jour été faite. 

En revanche, se mettre en conformité avec la RED dès aujourd’hui permet aux entreprises de se préparer efficacement à la mise en œuvre du CRA. Les deux cadres réglementaires reposent sur des démarches similaires et les standards harmonisés du CRA sont en cours de rédaction par le CENELEC, le même organisme ayant produit l’EN18031, le standard harmonisé de la RED.  

Ainsi la mise en conformité RED, au-delà d’être une obligation à partir d’août 2025, devient un atout stratégique pour anticiper le CRA et les futures obligations européennes en matière de cybersécurité des produits. 

Article précédent Phishing : Evilginx poussé à ses limites

Sur le même thème

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Back to top