Le Cyber Resilience Act (CRA) de la Commission européenne vise à clore le patchwork numérique d'appareils et de systèmes disposant d'une connexion réseau. Les réseaux industriels et les infrastructures critiques nécessitent une protection particulière. Le règlement de l'UE sur la cyber-résilience peut signifier des millions d'amendes pour les fabricants, les distributeurs et les importateurs.
Selon l'Union européenne, il y a actuellement une attaque de ransomware toutes les onze secondes ; rien qu'au cours des dernières semaines, il a frappé un important fabricant d'aliments pour bébés et un équipementier automobile mondial de rang 1 dont le siège est en Allemagne, ce dernier étant victime d'une attaque massive de ransomware. Une telle attaque a même conduit à l'insolvabilité du fabricant Prophete en janvier 2023.
Les failles de sécurité délibérées sont punies
Afin de tenir les fabricants, les distributeurs et les importateurs responsables, des sanctions sévères sont menacées si des failles de sécurité dans les appareils sont découvertes et ne sont pas signalées et fermées correctement. « La pression sur l'industrie – fabricants, distributeurs et importateurs – augmente énormément. L'UE mettra en œuvre ce règlement sans compromis, même s'il reste encore quelques étapes de travail à accomplir, par exemple avec les autorités locales de l'État », déclare Jan Wendenburg, directeur général de la société de cybersécurité ONEKEY.
Amendes : 15 millions d'euros soit 2,5 % du chiffre d'affaires annuel
Les sanctions pour les fabricants et distributeurs concernés sont donc élevées : jusqu'à 15 millions d'euros ou 2,5 % des ventes annuelles mondiales au cours de l'exercice écoulé - le plus grand nombre compte. "Cela rend les choses parfaitement claires : si les spécifications ne sont pas mises en œuvre, les fabricants s'exposent à des sanctions sévères", a poursuivi Wendenburg.
Les fabricants, distributeurs et importateurs sont tenus d'informer l'ENISA - l'Agence de l'Union européenne pour la cybersécurité - dans les 24 heures si une vulnérabilité de l'un de leurs produits est exploitée. Le dépassement des délais de déclaration est pénalisé.
Les industriels doivent répondre au Cyber-Resilience Act
La proposition de la Commission prévoit que les nouvelles exigences s'appliqueront 24 mois après l'entrée en vigueur du règlement. Des éléments individuels tels que l'obligation de signaler les incidents de sécurité devraient s'appliquer après 12 mois. "L'horizon temporel est serré étant donné que les commandes de produits informatiques auprès des fabricants OEM sont déjà passées cette année pour les 12 à 18 prochains mois. Par conséquent, la situation temporelle doit être prise en compte et résolue maintenant avant qu'un produit ne puisse être mis sur le marché en raison de défauts ou que le lancement sur le marché ne soit retardé », explique Jan Wendenburg de ONEKEY.
La société exploite une plate-forme d'analyse de micrologiciels pour trouver les vulnérabilités de sécurité dans les appareils intelligents et en réseau - des robots aspirateurs aux commandes industrielles valant des millions. Avec une évaluation de l'état de préparation à la cyber-résilience, ONEKEY offre la possibilité aux fabricants, distributeurs et importateurs de vérifier déjà leurs produits pour les exigences essentielles de la loi sur la cyber-résilience et également d'examiner les lacunes de sécurité ainsi que la SBOM (Software Bill of Materials) peut être rempli de contenu.
Plus sur ONEKEY.com
À propos de ONEKEY ONEKEY (anciennement IoT Inspector) est la première plateforme européenne d'analyses automatiques de sécurité et de conformité pour les appareils de l'industrie (IIoT), de la production (OT) et de l'Internet des objets (IoT). À l'aide des "jumeaux numériques" et de la "nomenclature logicielle (SBOM)" des appareils créés automatiquement, ONEKEY analyse indépendamment le micrologiciel pour détecter les failles de sécurité critiques et les violations de conformité, sans aucun accès au code source, à l'appareil ou au réseau.