La directive RED (Radio Equipment Directive) instaure un cadre européen pour réguler tout équipement communiquant via des ondes radio. Cela inclut tout équipement utilisant du Wi-Fi, Bluetooth, LoRaWAN ou encore de la 4G/5G par exemple. 

À cet égard, la date du 1er août 2025 marque une échéance clé : à compter de cette date, les obligations de cybersécurité de la RED deviennent obligatoires ! Les opérateurs économiques (fabricants, importateurs et distributeurs) qui ne respecteront pas ces exigences s’exposent à des sanctions pouvant aller du retrait du produit sur le marché européen jusqu’à des amendes administratives importantes, selon la législation en vigueur dans chaque État membre.  

Cet article vise à déchiffrer cette directive, afin d’en extraire les grandes informations à retenir. Et si vous êtes en retard dans votre mise en conformité, vous pourrez trouver ici des informations sur comment vous lancer ! 

Qu’est-ce que la RED ? 

Adoptée en juin 2014, la RED (2014/53/EU) vise à harmoniser la mise sur le marché des équipements radio au sein de l’Union européenne. Son objectif premier est de garantir la conformité des dispositifs émettant ou recevant des ondes radio (comme les smartphones ou des routeurs Wi-Fi) en matière de santé, de sécurité, de compatibilité électromagnétique, et d’usage efficace du spectre radioélectrique. 

Ce n’est cependant qu’à partir de 2022 que la cyber est intégrée dans la RED, près de 8 ans après sa création. En effet, l’introduction du délégué d’acte 2022/30 a marqué une nouvelle phase, ajoutant des exigences spécifiques visant à renforcer la résilience des équipements radio face aux menaces numériques.  

Quel est le périmètre d’application de la RED ? 

Définition d’un équipement radio 

Selon l’article 2.1.1 de la directive RED, un équipement radio est défini comme : 
« un produit électrique ou électronique qui émet et/ou reçoit intentionnellement des ondes radio à des fins de radiocommunication et/ou de radiorepérage ». 

Concrètement, cela englobe tout dispositif utilisant des protocoles de communication sans fil tels que Wi-Fi, Bluetooth, Zigbee, LTE, 5G, NFC ou encore LoRa pour transmettre ou recevoir des données via le spectre radio. 

Ces technologies sont à la base de nombreux équipements du quotidien, notamment dans le domaine de la domotique ou de l’Internet des objets (IoT). Entrent ainsi dans le champ d’application de la directive RED un très large éventail de produits. 

Secteurs d’exclusion 

La directive RED ne s’applique pas à tous les équipements radio. Certaines catégories sont explicitement exclues de son champ d’application, notamment pour des raisons de souveraineté, de cadre réglementaire spécifique ou de cadre d’usage. 

Les secteurs soumis à leur propre règlementation : 

• Les équipements marins : sont exclus les équipements déjà soumis à la directive MED (Marine Equipement Directive) 
• Les équipements aéronautiques : sont exclus les équipements déjà soumis à la réglementation CRFCA (Common Rules in the Field of Civil Aviation) 
• Les équipements automobiles : sont exclus les équipements déjà soumis à la réglementation GSR II (New General Safety Regulation) 
• La défense et la sécurité publique : dispositifs utilisés par les autorités nationales dans le cadre de la défense nationale ou toute activité de sécurité publique 

Les équipements à but non commercial :  

• Les équipements de recherche personnalisés (R&D) : fabriqués sur mesure pour des fins expérimentales, non destinés à une mise sur le marché standard 
• Les équipements radioamateurs : lorsque ceux-ci ne sont pas mis sur le marché, mais construits et utilisés par des amateurs dans un cadre non commercial

Qui sont les acteurs économiques soumis et quelles sont leurs responsabilités ? 

La directive RED ne concerne pas uniquement les fabricants d’équipements radio. La RED s’applique à l’ensemble de la chaîne d’approvisionnement, de la conception à la mise sur le marché. Chaque acteur économique joue un rôle clé pour garantir la conformité, la sécurité et la fiabilité des produits. Pour ce faire, la RED définit des exigences distinctes selon 3 grandes catégories d’acteurs : les fabricants, les importateurs et les distributeurs. 

Il est important de noter qu’une même entreprise peut cumuler plusieurs de ces rôles à la fois, et que cela peut varier pour une même entreprise d’une gamme de produits à une autre.  

Fabricant

Le fabricant est en première ligne. Il est celui qui conçoit, produit ou apporte sa marque sur un produit éligible. Il porte à ce titre la majeure partie des actions de mise en conformité des produits à la RED. Il doit : 

• Mettre le produit en conformité avec les exigences essentielles de la RED 
• Veiller à ce que le produit reste conforme en cas de modifications 
• Lorsqu’approprié à la vue des risques, il effectue des tests par échantillonnage, tient un registre des tests et tient informé les distributeurs de l’historique des tests 
• Réaliser ou faire réaliser une évaluation de conformité 
• Fournir une déclaration UE de conformité 
• Apposer le marquage CE 
• Établir la documentation technique et les instructions utilisateur et la conserver 10 ans 
• Retirer du marché voire rappeler un produit en cas de non-conformité 
• Communiquer avec les autorités en cas de non-conformité constatée ou sur demande 

Importateur 

Lorsqu’un produit est fabriqué hors de l’UE, l’importateur est l’acteur responsable de son acheminement depuis son pays d’origine vers l’intérieur de l’UE. Il devient responsable de sa conformité au moment de son entrée sur le marché européen. Il doit : 

• Lorsqu’approprié à la vue des risques, il effectue des tests par échantillonnage, tient un registre des tests et tient informé les distributeurs de l’historique des tests 
• S’assurer que le stockage et le transport des produits n’altèrent pas leur conformité 
• S’assurer que le fabricant ait utilisé une méthode de certification autorisée 
• Vérifier la présence du marquage CE 
• S’assurer de la conformité de la documentation technique, la déclaration de conformité et les instructions utilisateur fournie et en conserver une copie pendant 10 ans 
• Retirer du marché voire rappeler un produit en cas de non-conformité 
• Communiquer avec le fabricant et les autorités en cas de non-conformité constatée ou sur demande 

Distributeur 

Le distributeur est l’acteur mettant le produit à disposition sur le marché auprès du client ou utilisateur du produit. Il a un devoir de vigilance vis-à-vis du travail réaliser en amont par le fabricant et l’importateur. Il doit : 

• S’assurer que le stockage et le transport des produits n’altèrent pas leur conformité 
• Vérifier la présence du marquage CE et la présence d’une déclaration UE de conformité 
• S’assurer de la conformité de la documentation technique et les instructions utilisateur 
• Retirer du marché voire rappeler un produit en cas de non-conformité 
• Communiquer avec le fabricant, l’importateur et les autorités en cas de non-conformité constatée ou sur demande

Quelles sont les exigences essentielles de cybersécurité ?  

La RED ajoute en 2022 4 exigences essentielles de cybersécurité. Ces exigences présentent des critères d’éligibilité en fonction de caractéristiques du produit et ne sont donc pas toutes exigibles pour tout produit. Les exigences représentent d’avantage des concepts de sécurité à intégrer qu’une liste précise de mesures de sécurité à implémenter. 

Sécurité Réseau 

Critère d’éligibilité : Concerne tous les équipements connectés à Internet, de manière directe ou indirecte. Il s’agit d’éviter que ces dispositifs ne compromettent la stabilité ou la performance du réseau. 

Requis cyber : D’une part, les équipements doivent être conçus pour utiliser le spectre radio de manière efficace, sans provoquer d’interférences nuisibles. Cela permet d’assurer une cohabitation harmonieuse entre différents appareils sans brouillage ni perturbation. D’autre part, ils ne doivent pas être capables de dégrader, perturber ou détourner le fonctionnement du réseau. 

Protection des données 

Critère d’éligibilité : S’applique uniquement aux équipements qui traitent des données personnelles. Elle vise à garantir le respect de la vie privée des utilisateurs. 

Requis cyber : Les appareils doivent intégrer des mécanismes de protection des données comme le chiffrement, afin d’empêcher tout accès non autorisé. Il s’agit non seulement de sécuriser les informations en transit mais également durant leur stockage. 

Protection contre la fraude 

Critère d’éligibilité : S’adresse spécifiquement aux équipements impliqués dans des transferts d’argent, comme les terminaux de paiement ou certains smartphones. Il s’agit de limiter le risque de fraude via ces équipements. 

Requis cyber : Le règlement impose l’intégration de fonctionnalités d’antifraude, sans prescrire de solution unique. Parmi les approches possibles, l’authentification multifacteur (MFA) peut constituer une mesure efficace, en ajoutant une couche de sécurité supplémentaire lors des transactions. Toutefois, d’autres mécanismes peuvent également être envisagés, en fonction du contexte d’usage et du niveau de risque identifié. 

Authenticité du logiciel 

Critère d’éligibilité : Concerne tous les équipements. Cela vise à empêcher l’installation ou l’exécution de logiciels non autorisés pour un équipement donné. 

Requis cyber : Mettre en place des fonctionnalités de vérification de la combinaison logiciel et matériel préalablement à toute installation. Cela peut passer par du secure boot, de la vérification de signature/certificat, de la vérification de hash ou toute autre méthode permettant de s’en assurer.

Comment se conformer à la RED ? 

Méthodes de mise en conformité 

La conformité à la directive RED peut rapidement devenir un exercice complexe, notamment lorsqu’il s’agit de déterminer les exigences applicables en matière de cybersécurité. Pour ce faire le CENELEC a publié début 2025 le standard harmonisé associé à la RED : l’EN 18031. Ce standard permet de préciser les exigences et il fournit un cadre officiel pour sa mise en conformité RED. 

Cependant il est important de souligner que l’utilisation de l’EN 18031 n’est pas obligatoire. Certifier son produit conforme à l’EN18031 est seulement l’une des manières de mettre un produit en conformité avec le CRA. Un arbre de décision fournit par la RED permet de définir, en fonction du produit, quelle méthode de mise en conformité est autorisée. L’une d’entre-elles consiste en un self-assessment, c’est-à-dire une autoévaluation de la conformité aux exigences essentielles, à condition de documenter rigoureusement les mesures techniques mises en place et les justifications associées. 

Toutefois, il est important de noter que ces outils (EN18031 et arbres de décision), bien que très utiles restent complexes dans leur mise en œuvre dû à une marge laissée à l’interprétation sur certains aspects.

Démarche type pour un fabricant 

De l’expérience de Wavestone en matière de projets de mise en conformité cyber à des règlementations, et plus précisément des règlementations ciblant des produits, nous vous proposons un cadrage en 10 grandes étapes : 

1. Inventaire : Réaliser un inventaire des équipements radio commercialisés en UE et ne faisant pas partie des secteurs exclus 
2. Exigences : Appliquer les critères d’éligibilité par produit pour identifier les exigences essentielles applicables 
3. Stratégie : Appliquer l’arbre de décision pour identifier les méthodes de certification possibles et valider la stratégie retenue par produit en fonction des risques 
4. Référentiel : Préciser (EN18031) ou traduire (texte de loi) le référentiel utilisé en mesures de sécurité concrètes au format point de contrôle auditable  
5. Ecarts : Comparer l’état actuel des produits et processus aux points de contrôle du référentiel utilisé pour en tirer un plan de remédiation 
6. Remédiation : Mettre en œuvre le plan de remédiation à la maille produit et transverse afin d’en assurer un maintien dans le temps 
7. Documentation : Documenter et justifier les choix entrepris et les actions réalisées au regard des exigences de la RED et/ou de l’EN18031 
8. Instructions : Documenter les bonnes pratiques d’utilisation et les consignes de sécurité afin de garantir une exploitation conforme aux exigences 
9. Self-assessment / Certification tierce : Réaliser un self-assessment ou un audit via un organisme de certification en fonction de la stratégie adoptée 
10. Communication : Apposer le marquage CE et faire l’interface avec les autorités et les autres acteurs économiques impliqués 

Comment la RED s’inscrit-elle dans le panorama réglementaire cyber produit ? 

La directive RED et le Cyber Resilience Act (CRA) partagent clairement un terrain commun. Si vous ne connaissez pas encore le CRA, vous pouvez en consulter un décryptage ici. Le périmètre d’application de la RED est inclus dans le CRA et les exigences essentielles du CRA vont au-delà de ce qui est demandé par la RED. En ce sens, une conformité au CRA induit une conformité à la RED. Le CRA entrant pleinement en application en décembre 2027, il y aurait des réflexions au niveau européen pour que les exigences cyber de la RED ne s’appliquent que jusqu’à cette date et que le CRA prenne ensuite la relève. Cela ferait en effet sens mais aucune communication officielle en ce sens n’a à ce jour été faite. 

En revanche, se mettre en conformité avec la RED dès aujourd’hui permet aux entreprises de se préparer efficacement à la mise en œuvre du CRA. Les deux cadres réglementaires reposent sur des démarches similaires et les standards harmonisés du CRA sont en cours de rédaction par le CENELEC, le même organisme ayant produit l’EN18031, le standard harmonisé de la RED.  

Ainsi la mise en conformité RED, au-delà d’être une obligation à partir d’août 2025, devient un atout stratégique pour anticiper le CRA et les futures obligations européennes en matière de cybersécurité des produits. 

Cet article ​​Radio Equipment Directive : Une première brique vers la sécurisation des produits connectés européens​ est apparu en premier sur RiskInsight.

Ainsi, devriez-vous vous lancer dans l’aventure des sondes OT ? Et si oui, comment réussir le déploiement d’un service de sondes ?  

Sondes OT : Un outil pour surveiller les réseaux industriels 

Image 1 : Écouter le réseau pour l’inventorier et détecter 

Une sonde de détection est un équipement, virtuel ou physique, connecté au système d’information (SI) afin de le cartographier et de le surveiller. Elle se compose de capteurs répartis dans le réseau pour collecter des données et d’un équipement central pour corréler ces données. Les sondes pour environnements industriels – que nous appellerons ici sondes OT – se caractérisent par leur écoute passive et non invasive du réseau, et leur compréhension des protocoles et comportements industriels. De nombreux acteurs sont présents, vous pouvez retrouver notre vision du marché ici : https://www.riskinsight-wavestone.com/2021/03/les-sondes-de-detection-en-milieu-industriel-notre-vision-du-marche/  

Toutes leurs sondes fonctionnent sur le même principe : le trafic réseau est collecté en utilisant de la duplication de flux (SPAN, ERSPAN …) ou des duplicateurs physiques comme les taps. Les paquets sont inspectés en temps réel pour fournir plusieurs types de données : inventaire et cartographie des flux, gestion des vulnérabilités, et enfin détection des anomalies et des incidents. 

La grande diversité des cas d’utilisation possibles de ces données et la variété de ses utilisateurs (équipe opérationnelle et commerciale, équipe de cybersécurité, etc.) font la popularité de ces sondes OT.  

Cependant, ces solutions, tout comme leur déploiement et exploitation, sont coûteuses et nécessitent une bonne compréhension des besoins, des utilisateurs potentiels et de la valeur ajoutée avant de se lancer. 

Prenons deux exemples … 

Imaginons deux entreprises envisageant de déployer des sondes OT sur leurs sites industriels.

1ère entreprise : WavePetro 

WavePetro possède un large site sensible, avec une bonne maturité cyber et une architecture très segmentée. L’entreprise souhaite déployer des sondes OT pour se conformer à la réglementation et améliorer ses capacités de détection. 

Compte tenu de son architecture et de ses besoins de détection, de nombreux points d’écoute seront nécessaires. WavePetro peut compter sur ses équipes locales et leur expertise et connaissance du site pour réaliser le déploiement. 

2nd entreprise : RenewStone 

RenewStone est une entreprise possédant de nombreux petits sites géographiquement dispersés et sans équipe locale, avec une maturité cyber hétérogène. Ses sites sont interconnectés avec l’infrastructure du groupe. 

L’entreprise souhaite déployer des sondes OT pour gagner en visibilité sur ses sites en utilisant les fonctions d’inventaire et de cartographie.  

Ainsi, RenewStone a besoin de standardiser un service de sondes OT pour ses sites et de pouvoir proposer des déploiements avec le moins de complexité locale possible.  

Image 2 : 2 entreprises, 2 besoins, 2 implémentations 

… et leurs déploiements vers un service de sondes fonctionnel 

Bien que ces deux entreprises aient des besoins et maturités cyber différentes, les 5 étapes clés de déploiement restent les mêmes, bien qu’avec des approches différentes.   

1.Preuve de concept 

La première étape est la preuve de concept (PoC : Proof of Concept).  
L’objectif pour les deux entreprises est de tester la faisabilité et la valeur ajoutée des sondes OT sur leurs périmètres. 

Alors que WavePetro doit valider la faisabilité sur un périmètre réduit dans son usine, RenewStone doit se concentrer sur la validation de la valeur du service de sonde OT sur quelques-uns de ses sites. 

Pour tirer le maximum du PoC, il est important de : 

• Adapter la sélection des fournisseurs à vos besoins : Le marché est très diversifié entre les pure-players, ceux spécialisé au secteur industriel ou qui étendent leurs solutions IT à l’OT …  
  Les questions à se poser : Est-ce que je veux de fortes capacités de détection ? Est-ce que je veux un service managé ? Est-ce que je veux une solution unifiée pour l’IT et l’OT ?  
• Sélectionner le champ d’application du PoC : Identifier un périmètre représentatif avec des ressources à tester afin que les résultats puissent être reproduits à l’échelle.  
• Rédiger une architecture cible avant le PoC : tester une architecture représentative de ce qui serait déployé à l’échelle, afin de valider les tests effectués. 

Le PoC est essentiel pour s’assurer que les sonde OT apporte de la valeur, mais également pour pouvoir convaincre de les déployer, en particulier lorsqu’elles ne sont pas contraintes par des réglementation. 

2.Construction d’un modèle opérationnel 

Dès le début du projet, il est important de se rappeler que l’objectif final du déploiement des sondes OT : Collecter des informations utilisables et valorisables. Pour ce faire, il est important de : 

• Définir un modèle opérationnel pour le traitement des alertes, de l’inventaire et la gestion des sondes. Alors que WavePetro peut avoir un modèle d’exploitation reposant sur les connaissances et l’expertise locales, RenewStone doit construire un modèle d’exploitation central avec les équipes du groupe telles que le SOC, la sécurité OT, le réseau, l’infrastructure, etc. 
• Décider de faire appel à un tiers ou de gérer vos sondes en interne : Peu de fournisseurs proposent des services de gestion, vous devrez donc créer votre propre modèle, qui pourrait également s’appuyer – en totalité ou partiellement – sur de l’externalisation. 
• Créer un RACI : Compte tenu des différents cas d’usage et du nombre d’acteurs impliqués dans l’utilisation ou la maintenance des sondes, un RACI est essentiel pour s’assurer que toutes les parties prenantes nécessaires seront impliquées et mobilisées. 

Cette étape doit être traitée en amont pour faciliter les étapes suivantes du déploiement. 

3.Préparation au déploiement 

Une fois que la première étape a démontré la valeur ajoutée d’une sonde et que son modèle de fonctionnement a été défini, préparons le déploiement ! Vous devez définir la cible finale : 

• Où déployer la sonde : En particulier si vous avez de nombreux sites différents, comme RenewStone, vous devez prioriser : quels sont vos sites sur lesquels déployer ? Vous pouvez vouloir déployer sur les sites les plus critiques seulement et rendre le service disponible pour d’autres à la demande. Les sites sélectionnés doivent également permettre un déploiement. Quels sont les prérequis au déploiement ? Ils peuvent par exemple être définis selon les équipements réseaux disponibles. 
• Quand déployer : Travaillez sur dès que possible sur des estimations budgétaires afin que les sites soient en mesure de prévoir un déploiement. Les sondes sont une solution coûteuse, non seulement en termes de matériel et de licences, mais également en ressources, pour les déployer et les exploiter. 
• Comment déployer : Dans tous les cas, vous devez construire une architecture pour le déploiement des sondes OT. En particulier, si vous avez de nombreux sites à déployer ou des ressources locales très limitées, vous devez travailler à l’élaboration d’une offre de service packagée à déployer.  

Cette préparation est un passage obligé pour éviter de perdre du temps lors des déploiements et garantir leur succès. 

4.Déploiement 

Il est temps de s’attaquer au déploiement ! Le mot d’ordre est la même pour les deux entreprises : Avancer pas à pas. La différence réside dans l’échelle : 

• Un déploiement progressif sur le site de WavePetro : Il faudra du temps pour pouvoir « écouter » efficacement partout. Concentrez-vous sur les données attendues pour prioriser l’emplacement initial de la sonde et ses points d’écoute. 
• Apprendre et s’améliorer d’un déploiement à l’autre pour RenewStone : Les déploiements sont centralisés et plus standardisés, donc les équipes apprendront et s’amélioreront d’un déploiement à l’autre. Inclure un panel de sites représentatifs dans la première vague permet de tester et améliorer le modèle de déploiement. 
• Ne pas négliger la conduite du changement : dans les deux cas, le déploiement d’une nouvelle solution doit absolument inclure de la sensibilisation et de la formation afin que les sondes OT trouvent leurs utilisateurs. 

Le déploiement de sondes OT peut être un processus long et fastidieux, mais ne vous découragez pas en chemin, car il reste encore une dernière étape à franchir !

5.Fine-tuning 

Une sonde OT est un outil d’amélioration continue, la détection doit gagner en valeur avec le temps. Vous devez donc consacrer du temps à : 

• Configurer le tableau de bord de la console : Prendre le temps d’améliorer le modèle de détection (liste blanche de certains comportements, priorisation des actifs sensibles…), l’inventaire automatique des actifs et la cartographie (enrichir l’inventaire, importer des données, taguer les VLAN…), et ainsi de suite. Ce fine-tuning doit être effectué par une personne familière avec les sites industriels.  
• Intégrer d’autres technologies : Vous pouvez lier les consoles à d’autres outils de votre entreprise, tels que le SIEM, les pares-feux ou la CMDB, afin d’exploiter au maximum les données collectées par les sondes. 
• Testez d’ajouter des fonctionnalités : une fois que vous avez acquis une certaine maturité avec la solution, vous pouvez aller encore plus loin avec les fonctionnalités disponibles, comme l’exécution de requêtes actives pour enrichir l’inventaire. 

Le fine-tuning permet de limiter le nombre de faux-positifs, afin de se concentrer sur les données qui apporteront de la valeur à votre entreprise et à sa sécurité. 

Image 3 : Les 5 étapes clés d’un déploiement de service de sondes OT 

Conclusion 

Ces deux exemples nous ont beaucoup appris sur les sondes de détection industrielle et sur les nombreux défis liés à leur déploiement et utilisation.  

Si demain, je fais face à un client industriel qui se demande que faire de ce projet sonde sur sa feuille de route, je lui partagerai ces 3 conseils :  

Image 4 : Les 3 clés d’un déploiement réussi 

Questionner la valeur ajoutée de ses sondes 

En l’absence de cas d’utilisation clairement identifiés et d’objectifs déterminés, vous pouvez vous retrouver avec des sondes fournissant des informations inutilisées ou sans réelle valeur ajoutée. Les sondes OT sont coûteuses, à la fois financièrement et en termes de temps. Vous devez être sûr qu’elles en valent la peine, et vous donnez les moyens de les exploiter pleinement. 

Pour ce faire, prenez le temps d’évaluer la qualité et la valeur des informations remontées par les sondes OT avec vos différentes équipes (cybersécurité, exploitation, business …). 

Avancer pas à pas 

Ne craignez pas de commencer petit et de croître progressivement, qu’il s’agisse du nombre de sites déployés, du nombre de points d’écoute ou de cas d’utilisation des sondes OT. 

L’exploitation à long terme des sondes OT est complexe et se construit au fil des déploiements. Prenez le temps de soigner l’adoption de la solution : si vous voulez que les équipes utilisent la solution, formez les et montrez en leur la valeur !  

Compter sur l’amélioration continue 

Les sondes OT peuvent fournir nombre de fonctionnalités allant de la détection d’incidents à la cartographie, en passant par la gestion des vulnérabilités et bien d’autres encore qui doivent être publiées par les éditeurs. 

Concentrez-vous d’abord sur les fonctionnalités qui réduisent vos risques OT, en améliorant progressivement les services au fur et à mesure qu’ils gagnent en maturité ! 

Cet article Sondes de détection pour l’OT : Les clés pour réussir son déploiement  est apparu en premier sur RiskInsight.

En quelques mots, si vous fabriquez, importez ou revendez un produit avec des éléments numériques, vous serez sûrement affecté par le CRA et devrez veiller à sa conformité. Cet article vise à éclairer sur : Que prévoit cette réglementation ? Qui est concerné ? Comment assurer la conformité ? 

Qu’est-ce que le CRA et qu’implique-t-il ?   

Pour comprendre la nécessité du CRA, il est crucial de considérer le contexte plus large de la cybersécurité en Europe. Le CRA est une réglementation ambitieuse conçue pour assurer la sécurité des citoyens de l’UE en s’attaquant aux faibles niveaux observés aujourd’hui de cybersécurité des produits avec des éléments numériques, par le biais d’une intervention politique de l’Union européenne. Pour ce faire, des études approfondies axées sur la cybersécurité des produits numériques ont été menées, aboutissant à la proposition d’une législation définissant les obligations pour l’ensemble des acteurs de la chaîne d’approvisionnement des produits, des fabricants aux distributeurs. 

L’implication de Wavestone dans ce processus souligne son engagement à améliorer les normes de cybersécurité. Nous avons participé à une étude exploratoire approfondie commandée par l’UE, en engageant un large éventail de parties prenantes, y compris des autorités nationales, des organes de l’UE, des fabricants de matériel et de logiciels, des associations professionnelles, des organisations de consommateurs, des chercheurs, des universitaires et des professionnels de la cybersécurité. 

Grâce à la position de Wavestone en tant que leader mondial, et particulièrement européen, dans le domaine de la cybersécurité, plusieurs interviews, groupes de discussion et ateliers ont été organisés. Des informations précieuses ont été recueillies auprès d’interlocuteurs variés, offrant une vision complète qui prend en compte les perspectives de toutes les parties prenantes et permettant de poser les bases du développement du CRA. 

Définition et périmètre 

Le CRA est une proposition législative qui définit les obligations des fabricants, importateurs et distributeurs de produits contenant des éléments numériques commercialisés dans l’UE, tous devant porter le marquage CE dans tous les secteurs. Tel que défini dans la réglementation, cela inclut « tout produit logiciel ou matériel ainsi que ses solutions de traitement de données à distance, comprenant des composants pouvant être commercialisés séparément ». L’objectif de cette réglementation est non seulement de sécuriser les produits autonomes, mais aussi d’assurer la sécurité des chaînes de transmission de données et des infrastructures centrales grâce à l’application de cette norme. 

À cette notion de produit s’ajoute une notion de criticité, le CRA distingue donc deux types de produits : les produits avec des éléments numériques et les produits critiques avec des éléments numériques. Comme détaillé ci-dessous dans la partie « Checklist de conformité au CRA », cela influencera la manière dont la conformité pourra être atteinte. 

Quelques exemples de produits avec des éléments numériques incluent les produits de consommation, les smart cities et les logiciels non essentiels. Les produits critiques avec des éléments numériques comprennent, par exemple, les systèmes de contrôle industriel et les pare-feu. La liste détaillée des produits concernés se trouve dans les annexes de la réglementation. 

 Cependant, comme détaillé ci-dessous dans « Un écosystème complexe », le CRA ne s’applique pas universellement, et les produits de certains secteurs spécifiques ne sont pas tenus de se conformer aux exigences. 

Parties prenantes et responsabilités 

Le CRA impacte tout le cycle de vie des produits numériques, depuis le développement par les fabricants, importateurs et distributeurs jusqu’au consommateur final, mais aussi la gestion des vulnérabilités depuis la conception jusqu’à la fin de vie du produit, au travers d’une responsabilité partagée. 

Exigences essentielles  

Comme mentionné précédemment, l’objectif du CRA est de garantir un niveau suffisant de cybersécurité dans les produits contenant des éléments numériques. Pour ce faire, il introduit des exigences essentielles reposant sur trois piliers  

• Sécurité des produits : Assurer que les produits sont conçus, développés et fabriqués pour atteindre des niveaux de cybersécurité appropriés et qu’ils sont exempts de vulnérabilités exploitables connues. 
• Documentation utilisateur : Fournir une documentation pour garantir une utilisation sécurisée, depuis la mise en service jusqu’à la fin de vie du produit. 
• Gestion des vulnérabilités : Identifier et documenter les vulnérabilités, réaliser des tests de sécurité réguliers, et mettre en place une politique de divulgation des vulnérabilités. 

En cas de non-conformité aux exigences essentielles, des sanctions peuvent être appliquées à l’une des trois parties prenantes. Comme pour le RGPD, chaque État membre doit déterminer les sanctions applicables en cas de violation de cette réglementation. Les pénalités sont basées sur le chiffre d’affaires annuel de l’entreprise et la gravité de l’infraction, avec des amendes pouvant atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial total pour les violations graves. 

Comment se conformer au CRA ? 

Chronologie du CRA  

Le CRA a été un projet à long terme, avec presque 10 ans entre l’identification du besoin et la mise en application, reflétant la complexité de l’établissement de réglementations de cybersécurité complètes: 

Les entreprises ont jusqu’en 2026 pour se conformer, avec des obligations intermédiaires. Des exigences similaires peuvent être trouvées dans d’autres réglementations, telles que la NIS2, mais contrairement à d’autres réglementations, le CRA ne nécessite pas de transposition nationale. Le CRA a été adopté par le Parlement européen en mars 2024, et il attend un vote du Conseil européen pour devenir une loi. 

Un écosystème complexe 

L’une des principales préoccupations soulevées lors de la préparation était de savoir comment naviguer dans la multitude de réglementations existantes et parvenir à une harmonie réglementaire, en particulier dans les secteurs où les normes de sécurité, de protection de la vie privée et de cybersécurité s’entrecroisent.  

Le CRA vise à favoriser l’interopérabilité en s’alignant sur le cadre général de la sécurité des produits, sur les exigences de la loi sur la cybersécurité pour les produits, processus et services TIC, et sur les normes de marquage CE pour la conformité européenne. 

Pour simplifier la mise en conformité, le CRA inclut des présomptions de conformité avec les réglementations existantes telles que la directive RED, la loi sur l’IA et certaines règles sectorielles.  

Toutefois, le CRA ne s’applique pas de manière universelle ; certains secteurs, tels que le secteur médical, l’aviation et l’automobile, sont déjà régis par des réglementations établies et sont donc exemptés des dispositions de la réglementation. 

 Checklist de conformité au CRA 

La mise en conformité au CRA implique une compréhension approfondie du texte principal du règlement et de ses deux annexes, qui détaillent la liste des produits concernés, les exigences essentielles, les obligations des fabricants, des importateurs et des distributeurs, ainsi que les autorités nationales compétentes et les sanctions.  

Le processus de certification varie en fonction de la criticité du produit : 

• Pour les produits non critiques : une auto-évaluation est nécessaire. 
• Pour les produits critiques : une évaluation par un tiers est nécessaire, ce qui signifie que la conformité du produit au CRA sera évaluée par une entité certifiée. Au moment de la rédaction de cet article, les schémas de certification exacts n’ont pas encore été spécifiés, mais en France, la certification CESTI est en discussion. 

Cinq points de contrôle principaux doivent être pris en compte pour assurer la conformité :   

1. Analyse d’écarts législatifs : Identifier les écarts entre les pratiques actuelles et les exigences du CRA en examinant les politiques, les processus et les contrôles existants en matière de cybersécurité afin d’identifier les zones nécessitant une amélioration. 
2. Évaluation de la sécurité des produits : Effectuer des évaluations approfondies pour garantir l’identification et la sécurité des produits.  
3. Mise à jour des instructions destinées aux utilisateurs : Fournir une documentation claire et complète à l’intention des utilisateurs en veillant à ce que tous les produits soient accompagnés d’une documentation conforme aux normes de la réglementation. 
4. Gestion des vulnérabilités : Mettre en place un processus d’identification et de partage des vulnérabilités. 
5. Revue de l’organisation interne : Mettre en œuvre une procédure permanente pour assurer la conformité, couvrant les points clés mentionnés ci-dessus et surveiller les changements de produits ou de législation qui pourraient impliquer de nouveaux écarts à remédier. 

En conclusion, le Cyber Resilience Act représente un cadre complet pour renforcer la cybersécurité des produits numériques au sein de l’UE. La conformité avec cette réglementation nécessite une préparation approfondie. Pour les entreprises, se conformer au CRA n’est pas seulement une obligation légale, mais aussi une opportunité d’améliorer leur position sur un marché de plus en plus conscient des enjeux de cybersécurité. 

Cet article Cyber Resilience Act : Une révolution qui redéfinit la sécurité des produits et transforme l’écosystème est apparu en premier sur RiskInsight.