Logiciels et matériels informatiques : l'UE veut absolument renforcer leur sécurité

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 15 septembre 2022 à 19h30

Sous le sceau de la « cyber-résilience », la Commission européenne a présenté, jeudi, une proposition législative qui viendrait renforcer la protection informatique des consommateurs et entreprises de la zone.

La Commission européenne veut prendre les choses en main sur le terrain de la cybersécurité. Bruxelles a dévoilé, le 15 septembre, une proposition de législation visant à rendre obligatoire, pour les éditeurs et fabricants de produits numériques et logiciels, certaines exigences en matière de sécurité informatique, afin de mieux protéger les consommateurs de la zone. Une démarche inédite de la part de l'institution européenne.

Face à l'état de la menace, l'UE veut introduire la cybersécurité dès la conception des produits et logiciels

Alors qu'une entreprise ou organisation est victime d'une attaque par rançongiciel toutes les 11 secondes dans le monde, la cybercriminalité a eu un coût faramineux de 5 500 milliards d'euros en 2021. D'où l'urgence pour la Commission européenne d'assurer aux entreprises, organisations et citoyens de l'UE un niveau élevé de cybersécurité et de réduire les vulnérabilités des produits numériques, l'un des vecteurs majeurs des attaques.

Bruxelles entend renforcer la protection autour des ordinateurs, téléphones, voitures, appareils ménagers, dispositifs d'assistance virtuels et même des jouets, qui constituent des centaines de millions d'objets connectés en circulation dans l'Union européenne. Et chacun d'entre eux « peut servir de porte d'entrée à une cyberattaque », rappelle Thierry Breton.

Le commissaire au Marché intérieur regrette qu'« aujourd'hui, la plupart des produits matériels et logiciels ne sont soumis à aucune obligation en matière de sécurité ». Une motivation suffisante, aux yeux de l'institution européenne, pour introduire la sécurité informatique dès la conception des produits. « L'acte législatif sur la cyber-résilience contribuera à protéger l'économie européenne et la sécurité de tous », ajoute l'ancien ministre.

Une responsabilité cyber accrue pour les fabricants et vendeurs

Cet acte avait déjà été annoncé par la présidente de la Commission européenne Ursula von der Leyen il y un an, avec la volonté de garantir que les produits numériques – ce qui englobe donc tous logiciels ‑, produits sans fil ou filaires, soient mieux sécurisés.

L'UE veut faire peser davantage de responsabilité sur les fabricants et les vendeurs, de sorte que ces derniers puissent fournir une assistance en matière de sécurité et des mises à jour logicielles pour remédier aux vulnérabilités identifiées. Pour prolonger la mesure, les consommateurs devront aussi bénéficier d'informations suffisantes sur la sécurité des produits et logiciels qu'ils achètent.

Bruxelles veut ainsi garantir une cybersécurité suffisamment importante aux produits comportant des éléments numériques, et ce sur l'ensemble de leur cycle de vie. « Tout comme nous pouvons faire confiance à un jouet ou à un réfrigérateur muni d'un marquage CE, nous pourrons, grâce à l'acte législatif sur la cyber-résilience, avoir l'assurance que les objets et les logiciels connectés que nous achetons offrent des garanties solides en matière de cybersécurité. Cet acte fera peser la responsabilité sur ceux qui doivent l'assumer, c'est-à-dire ceux qui mettent les produits sur le marché », conclut la vice-présidente exécutive de la Commission, Margrethe Vestager.

Le chantier sera long, mais on peut saluer cette prise de conscience des enjeux cyber de la part de la Commission, qui devra maintenant fédérer tout un écosystème et convaincre les autres institutions européennes.

Source : Communiqué de presse

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Politique numérique

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

norwy

En voilà une bonne idée. Elle a juste 20 ans de retard…

emmanuel38

Imposer de la sécurité pour tous les produits mis sur le marché… la volonté est louable.

Mais qui est responsable en cas de gros trou de sécurité avec un logiciel libre ?
Le développeur qui a cessé son développement quelques mois plus tôt, parce qu’il n’avait plus le temps, l’envie… ?

max6

Personnellement le logiciel libre n’est pas ma pierre d’achoppement.
Question qui utilise journellement uniquement des logiciels développé dans l’UE? parce que ces lois ne pourront s’appliquer que pour ceux-là.
Or il suffit d’un seul logiciel non sécurisé pour rendre tout le matériel concerné vulnérable.
ce type de loi ne pourrait être applicable que sur des matériel simple entièrement développés dans l’UE encore que je ne suis même pas sûr que le logiciel d’une machine à laver moyen de gamme ne comporte pas des modules développé dans plusieurs pays.
Enfin à quoi rime une loi qui ne peut s’appliquer qu’à des matériels et à des logiciels développé au sein de l’UE alors que le matériel vient du monde entier (et si on en interdit d’entrer quels CPU, par exemple, pourrons nous avoir vu que ceux d’intel et d’amd ont tous des failles ?)
et quels OS pourrons nous avoir puisque nous n’en développons aucun de bout en bout.
Et quelle responsabilité faire payer à un fabriquant ouzbèke ou chinois qui a devant lui on marché de 7 milliards d’individu si l’UE lui ferme les portes ?
Ce genre de décision ne pourrait être valable que si elle était entériné par le monde entier.

louchi

Au delà d’être super proof anti ransomware, il faut avoir des backups de…tout. C’est la clef.
Ensuite tu gères, sans internet etc. ou simule.
Dans notre boîte on s’est fait hacker et ransoware un accès SIP. Le lendemain c’était réglé grâce aux backups + filtré la source.
A savoir aussi qu’il y a aussi des blacklists, qui vont de la VOIP aux ransomwares. Facile à mettre en place.

Belgarath

En dehors de la toile, qui est relativement, je dis bien, « relativement », protégée, tous ces fabricants de gadgets connectés, la plupart du temps, totalement inutiles et qui se goinfrent à nous les vendre sans protections, devraient au moins se donner la peine d’essayer de les protéger.

Lepered

« Enfin à quoi rime une loi qui ne peut s’appliquer qu’à des matériels et à des logiciels développé au sein de l’UE alors que le matériel vient du monde entier » C’est très simple, la matériel non conforme n’entrerons pas. C’est exactement la phrase concernant le marquage CE, les équipements non produits en EU qui n’ont pas cette norme n’entre pas. Essayer donc d’acheter un réfrigérateur ou produit non CE…
Ces normes de sécurité ne sont pas implémentées des le départ pour des raisons de coûts.
C’était la même chose avec le marquage CE, cela entraîne des obligations donc un produit un peu plus cher. Dans la mesure ou les plus grands marchés (EU+US) appliquent des normes, les Chinois se mettrons à faire des produits conformes.

malak

Le soucis est dans la définition de cette norme et les produits visés… J’ai bien peur que cela n’accouche sur rien de réellement concret… https obligatoire, mot de passe compliqué par défaut? ça va changer la face du monde…

Yannick2k

" C’est très simple, la matériel non conforme n’entrerons pas "
va falloir bloquer tous les sites genre Wish, AliExpress… comment l’UE va contrôler tous ces produits qui viennent directement de Chine sans ‹ norme CE › ?

MattS32

Ceux qui se soucient de la sécurité, et en particulier les entreprises, n’achètent pas des produits au rabais sur ce genre de sites… Les autres, ben ils en auront pour leur argent, tant pis pour eux…

Et pourquoi ne pourraient-elles s’appliquer qu’aux logiciels développés dans l’UE ? À partir du moment où ils sont commercialisés dans l’UE, ils devront respecter la législation européenne…

On a d’ailleurs un bel exemple de précédent : quand l’UE a exigé de Microsoft une version de Windows n’intégrant pas le Media Player, puis une version de Windows intégrant un écran de choix du navigateur au premier démarrage, Microsoft n’a pas pu dire « Windows n’est pas développé en UE », Microsoft s’est exécuté et a respecté ces exigences.

D’un point de vue commercial, l’UE est aujourd’hui le plus gros marché du monde. Peu de fabricants sont prêts à s’en passer. Et si certains s’en passent, y en aura pour saisir l’occasion et venir occuper l’espace laissé vide.

Et ce d’autant plus que du coup, ceux qui continueront à vendre en UE auront vite une réputation de plus grande sécurité dans le monde entier, et ça augmentera aussi leur part de marché ailleurs…

Là encore, on a des exemples de précédents, notamment dans l’électronique. Par exemple, quand l’UE a mis en place la directive RoHS, les fabricants ont pleuré, ont dit que ça allait leur coûter cher, y en a même qui ont menacé de ne plus vendre leurs produits en UE… Résultat des courses, aujourd’hui ils respectent tous le RoHS, et ils ne font même plus des déclinaisons RoHS/non-RoHS, ils vendent les versions RoHS dans le monde entier.

jvachez

Des backups « déconnectés », très important le « déconnecté » car certains arrivent à toucher aussi aux backups sur d’autres machines comme des NAS.