Le Cyber Resilience Act (CRA) est une proposition législative de l’Union européenne visant à renforcer la résilience cybernétique des entreprises. De quoi s’agit-il ? Quels sont les changements à prévoir pour les entreprises françaises ?

Le CRA est à la cybersécurité ce qu’est le RGPD pour la privacy. Il vise à établir des normes obligatoires en matière de cybersécurité pour les entreprises opérant dans l’UE, y compris les entreprises françaises. Ceci, afin de mieux protéger les données personnelles des consommateurs, un prolongement logique du champs d’application du RGPD.

Le CRA impose des exigences spécifiques en matière de détection, de prévention et de réponse aux incidents cybersécuritaires. Les entreprises concernées devront mettre en place des mesures de protection avancées pour garantir la sécurité de leurs systèmes informatiques et de leurs données. Le CRA exige également la notification obligatoire des violations de données aux autorités compétentes dans un délai spécifié.

Quels sont les objectifs du CRA et quels en sont les principes ?

🏭 Pour les entreprises, le Cyber Resilience Act (CRA) vise à instaurer un cadre réglementaire favorisant la cybersécurité des produits numériques. Les obligations imposées aux fabricants encouragent une approche proactive, intégrant la sécurité dès la conception jusqu’à la maintenance des produits. Cela offre aux entreprises une structure normative claire, les incitant à améliorer la robustesse de leurs produits et à documenter de manière exhaustive les risques associés. En renforçant la sécurité des produits, le CRA contribue à accroître la confiance des consommateurs et à renforcer la compétitivité des entreprises sur le marché numérique de l’Union européenne.

👥Pour les utilisateurs, le CRA vise à garantir une expérience numérique plus sûre. Les obligations imposées aux fabricants, telles que la divulgation obligatoire des incidents et la disponibilité des mises à jour de sécurité, visent à assurer une utilisation sécurisée des produits numériques. Les instructions de sécurité claires fournies par les fabricants permettent aux utilisateurs de prendre des décisions éclairées, renforçant ainsi leur confiance dans les produits numériques disponibles sur le marché de l’Union européenne. En créant des normes de sécurité plus élevées, le CRA contribue à protéger les utilisateurs contre les menaces cybernétiques et à promouvoir un environnement numérique plus fiable.

▶ Obligations imposées aux entreprises

Les entreprises françaises devront se conformer aux dispositions du CRA et mettre en œuvre des programmes de gestion des risques cybernétiques robustes. Des sanctions financières significatives sont prévues en cas de non-conformité avec le CRA, ce qui incite les entreprises à prendre la cybersécurité au sérieux. Le CRA encourage la collaboration et le partage d’informations entre les entreprises et les autorités pour renforcer la résilience globale face aux cybermenaces.

1. Intégration de la cybersécurité dans tout le cycle de vie du produit : Les fabricants doivent prendre en compte la cybersécurité dès la phase de conception jusqu’à la maintenance du produit, couvrant l’ensemble du cycle de vie du produit, y compris le design, le développement, la production, la livraison, et la maintenance.
2. Documentation exhaustive des risques de cybersécurité : Les fabricants sont tenus de documenter de manière exhaustive les risques liés à la cybersécurité associés à leurs produits.
3. Divulgation obligatoire des incidents et des vulnérabilités : Les fabricants sont obligés de divulguer de manière obligatoire tout incident de cybersécurité et les vulnérabilités identifiées dans leurs produits.
4. Traitement efficace des vulnérabilités pendant la durée de vie du produit : Une fois le produit vendu, les fabricants doivent garantir un traitement efficace des vulnérabilités identifiées tout au long de la durée de vie du produit.
5. Clarté et compréhension des instructions de sécurité pour l’utilisateur : Les fabricants doivent fournir des instructions de sécurité claires et compréhensibles pour les utilisateurs, visant à les informer sur la manière d’utiliser le produit de manière sécurisée.
6. Disponibilité des mises à jour de sécurité pendant une période minimale de cinq ans : Les fabricants doivent garantir que des mises à jour de sécurité sont disponibles pour leurs produits pendant une période minimale de cinq ans après leur mise sur le marché, assurant ainsi la continuité de la protection contre les nouvelles menaces.

▶ Classification des solutions et produits numériques

Trois catégories de produits sont définies

Catégorie par défaut (90% des solutions numériques) :

• Exige une auto-évaluation.
• Concernent une vaste gamme de solutions numériques, telles que des logiciels d’édition de photos, des enceintes connectées, des disques durs, des consoles de jeux vidéo, etc.
• La classification repose sur des fonctionnalités spécifiques et la catégorie d’utilisation prévue du produit.

Catégories critiques (10% des solutions et produits) :

Classe I

• Exige l’application d’un standard de sécurité ou une évaluation réalisée par un tiers extérieur.
• Exemples de produits inclus dans cette classe : gestionnaires de mots de passe, firewalls, microcontrôleurs.
• Cette classe est destinée aux produits considérés comme critiques mais qui ne nécessitent pas une évaluation obligatoire par une tierce personne.

Classe II

• Nécessite une évaluation obligatoire par une tierce personne.
• Exemples de produits inclus dans cette classe : systèmes d’exploitation (OS), puces pour “secure elements”.
• Cette classe s’applique aux produits considérés comme critiques et exige une évaluation externe indépendante.

Comment anticiper la mise en œuvre ?

Concrètement, voici 5 actions que vous pouvez déjà mettre en place pour anticiper l’entrée en vigueur de cette nouvelle norme européenne :

• Mettre en place une formation régulière en cybersécurité pour sensibiliser les employés aux menaces et aux meilleures pratiques.
• Effectuer des audits de sécurité réguliers pour évaluer et améliorer la résilience aux cyberattaques.
• Mettre en place des procédures de sauvegarde et de récupération des données pour assurer la continuité des opérations en cas d’incident.
• Collaborer avec des experts externes en cybersécurité pour bénéficier de conseils et d’analyses indépendants.
• Mettre en place des protocoles de gestion des incidents pour répondre rapidement et efficacement aux cyberattaques.

L’application du NIST Cybersecurity Framework peut également aider les entreprises à répondre aux exigences de l’UE en matière de cyber-résilience à travers ses trois piliers fondamentaux :

▶ Application du NIST Cybersecurity Framework pour répondre aux exigences de l’UE en matière de cyber-résilience (CRA)

Détection

Le Framework NIST offre des méthodes de classification des actifs, d’évaluation des vulnérabilités et d’identification des menaces potentielles. En utilisant ces directives, les entreprises peuvent mieux comprendre leurs systèmes et données critiques, évaluer les risques qui pèsent sur eux, et prioriser les mesures de protection nécessaires pour se conformer aux exigences de l’UE en matière de protection des données, telles que celles contenues dans le Cyber Resilience Act.

Exemple: En mettant en place des outils de détection d’intrusions et des systèmes de surveillance des réseaux conformes aux principes du CRA, une entreprise peut détecter plus rapidement les violations potentielles de la sécurité et se conformer ainsi plus efficacement aux réglementations de l’UE.

Restauration

Le NIST Cybersecurity Framework propose des pratiques recommandées pour assurer la sécurité des systèmes et des données, telles que la mise en place de contrôles d’accès, la sensibilisation à la sécurité et la sécurisation des équipements. En appliquant ces mesures, les entreprises peuvent répondre aux exigences de l’UE en matière de sécurité des données en protégeant adéquatement les informations sensibles contre les accès non autorisés et les fuites conformément aux directives du Cyber Resilience Act.

Exemple: En mettant en place des protocoles de sauvegarde et de récupération des données conformes aux exigences du CRA, une entreprise peut garantir la disponibilité des données en cas de cyber-attaque ou de sinistre, assurant ainsi la résilience de ses opérations.

Identification

Le Framework NIST propose des méthodes de classification des actifs, d’évaluation des vulnérabilités et d’identification des menaces potentielles. Les entreprises peuvent mieux comprendre leurs systèmes et données critiques, évaluer les risques qui pèsent sur eux, et prioriser les mesures de protection nécessaires pour se conformer aux exigences de l’UE en matière de protection des données, telles que celles contenues dans le Cyber Resilience Act.

Exemple: En identifiant les données personnelles sensibles conformément aux définitions du CRA, une entreprise peut mettre en place des mesures de sécurité spécifiques pour les protéger et se conformer ainsi aux normes européennes en matière de protection des données.

En appliquant le Framework du NIST, les entreprises peuvent renforcer leur posture de cyber-résilience, se conformer aux exigences de l’UE en matière de cybersécurité et renforcer la confidentialité et l’intégrité des données de leurs clients conformément aux réglementations telles que le Cyber Resilience Act.

En résumé, le CRA représente un effort de l’UE pour améliorer la cybersécurité des entreprises françaises en imposant des normes strictes, des obligations de notification et des sanctions en cas de non-conformité. C’est une opportunité pour les entreprises de renforcer la sécurité de leurs infrastructures et rassurer leurs clients, partenaires et utilisateurs.