Rechercher
Fermer ce champ de recherche.

Les 10 clés pour comprendre la nouvelle Loi sur la Cyberrésilience

La société de cybersécurité et cyber-renseignement S2 Grupo souligne que l’une des principales dispositions de la nouvelle Loi sur la cyber-résilience de l’UE sera la mise en place du concept de ‘sécurité par conception’. Cela est « absolument nécessaire pour la protection cybernétique », mais cela « va représenter un contexte difficile » pour de nombreuses entreprises.

Dans ce contexte, S2 Grupo, spécialisée dans la cybersécurité et le cyber-renseignement, a mis en évidence dans un communiqué que cette mesure « luttera contre l’un des grands problèmes de la plupart des dispositifs » qui n’avaient pas été conçus en prenant en compte des standards de cybersécurité. Selon les experts de l’entreprise, cela faisait en sorte qu’ils présentaient de nombreux points vulnérables par lesquels un attaquant pourrait accéder aux réseaux locaux.

« Outre la nécessité de créer des produits cybersécurisés dès la phase initiale de conception, les entreprises doivent prendre en compte que le non-respect des exigences établies par cette loi est soumis à des amendes allant de 10 à 15 millions d’euros ou jusqu’à 2 ou 2,5 % de leur chiffre d’affaires annuel », a déclaré José Rosell, co-fondateur et PDG de S2 Grupo.

Cette réglementation a prévu une période d’adaptation de 3 ans et, selon les experts de S2 Grupo, voici les 10 clés de la nouvelle Loi sur la cyber-résilience :

  1. Elle affectera tous les dispositifs connectés au réseau ou à d’autres dispositifs.
  2. Elle établit des normes de cybersécurité pour la conception, le développement et la production de produits comportant des éléments numériques, des obligations pour les opérateurs économiques et des règles concernant la surveillance du marché et l’exécution.
  3. Elle établit une série d’exigences essentielles pour les processus de gestion des vulnérabilités établis par les fabricants pour garantir la cybersécurité des produits numériques tout au long de leur cycle de vie. Les fabricants devront informer sur les vulnérabilités et les incidents.
  4. Les États membres désigneront une autorité notificatrice qui établira les procédures nécessaires à l’évaluation et à la notification des organismes d’évaluation de la conformité et au suivi des organismes notifiés.
  5. Son objectif principal est de faire en sorte que les consommateurs disposent d’informations suffisantes sur la cybersécurité des produits qu’ils acquièrent et utilisent.
  6. Elle oblige les fabricants à fournir un soutien en matière de sécurité et des mises à jour logicielles pour résoudre les vulnérabilités identifiées.
  7. Les fabricants, importateurs et distributeurs auront l’obligation d’intégrer les exigences essentielles de cybersécurité dans la conception, le développement, la production, la livraison et la maintenance des dispositifs numériques. Ils devront livrer leurs produits sans vulnérabilités « connues » et avec une protection « sécurisée » par défaut.
  8. Les fabricants devront informer activement des vulnérabilités et incidents de leurs produits. Ils devront fournir une prise en charge des mises à jour vis-à-vis des vulnérabilités pendant la durée de vie utile de leurs produits avec un minimum de 5 ans et gérer et atténuer efficacement ces vulnérabilités.
  9. Tous les risques de cybersécurité devront être documentés.
  10. Les produits comportant des éléments numériques devront présenter des instructions claires et compréhensibles et devront disposer d’une évaluation de conformité.

« Nous sommes dans un contexte de numérisation où tout type d’entreprises ou d’organisations a besoin de conseils spécialisés en cybersécurité, non seulement pour se conformer à la législation, mais aussi pour offrir des services et des produits qui ne mettent pas en danger la continuité de leurs activités commerciales ou la cybersécurité de leurs clients, pour connaître les implications de la loi dans leur activité, concevoir les mesures à adopter pour se conformer correctement à la Loi sur la cyber-résilience et les mettre en œuvre de manière efficace », a expliqué José Rosell.

« D’autre part, qu’un produit soit sécurisé aujourd’hui ne garantit pas qu’il le sera à l’avenir car l’avancement continu des capacités technologiques et les mises à jour logicielles découvrent chaque jour de nouvelles vulnérabilités. Pour cette raison, l’évaluation des dispositifs devra se faire périodiquement comme un processus d’amélioration continue, comme un maillon essentiel de plus du processus d’affaires », a conclu le PDG de S2 Grupo.