Au début du mois d’octobre, le conseil de l’Union Européenne a adopté le Cyber Resilience Act (CRA). Ce texte vient dans la continuité des autres textes de la stratégie européenne sur les données (Digital Act, DMA, DSA et DGA). Il introduit de nouvelles obligations pour les constructeurs de matériel connectés pour qu’ils puissent garantir la sécurité informatique de leur équipement et des transferts de données.

Ce texte a bien évidemment été pensée pour tenter de mettre fin à la fuite intempestives de certaines données. On pense notamment aux caméras connectées qui se sont fortement déployées ces dernières années chez les commerçants et les particuliers. Nombreux de ces systèmes ont vu leur données diffusées en public ou à des tiers, à cause de différents facteurs (fuite de données volontairement organisée par le constructeur, vulnérabilité du logiciel embarqué, paramétrage insuffisant de la part de l’utilisateur). Pour faire face à cela, les entreprises qui développent des objets connectés ou tout systèmes embarqués devront donc se plier à de nouvelles normes pour garantir la sécurité des données, des logiciels et des systèmes d’exploitation embarqués. Le texte prévoit également comment répartir la responsabilité lorsqu’une entreprise développe un outil basé sur des logiciels/librairies libres (par exemple en utilisant un noyau linux pour un système embarqué). Ainsi chaque constructeur devra mettre en place des procédures de vérification pour s’assurer de la non-vulnérabilité de son produit. Il est aussi prévu dans le texte une forme de souplesse pour ce qui concerne les prototypes. Mais ce texte viendra mécaniquement augmenter les coût de mise sur le marché d’un objet connecté, ce qui pourra avoir un impact conséquent pour les start up qui déploient en béta test des prototypes en pré-commercialisation et qui n’ont pas les moyens ni les compétences pour éprouver la sécurité de leur dispositif. Ci-dessous, 3 articles pour mieux comprendre les cas d’application du texte.

https://www.consilium.europa.eu/fr/press/press-releases/2024/10/10/cyber-resilience-act-council-adopts-new-law-on-security-requirements-for-digital-products

https://theembeddedkit.io/blog/product-affected-cyber-resilience-act/

https://www.solutions-numeriques.com/que-change-le-reglement-cyber-resilience-act-cra-adopte-par-le-conseil-de-lue/