Le mois de juillet a été animé pour les développeurs de logiciels. L’avancée dans le processus législatif du Cyber Resilience Act (CRA) européen a mis le feu aux poudres. Plusieurs associations d’entreprises se sont élevées contre un texte jugé particulièrement restrictif. Le point sur la polémique.
Qu’est-ce que le Cyber Resilience Act ?
Le Cyber Resilience Act fait partie du paquet réglementaire européen lié à la cybersécurité, aux côtés d’autres textes comme le Cyber Solidarity Act. Il vise à « renforcer la cybersécurité des produits numériques dans l’Union européenne », selon la documentation officielle du Parlement européen. L’idée est d’harmoniser les règles européennes en matière de cybersécurité. Notamment en imposant une cybersécurité « by design » et ce durant tout le cycle de vie des objets connectés.
Qui est concerné ?
Toute la chaîne de valeur des objets connectés vendus en Europe. L’ensemble des objets connectés vendus sur le marché européen devront ainsi respecter ces nouvelles obligations. Les fabricants sont les premiers concernés puisqu’ils devront s’assurer que leurs produits sont conformes au CRA. Mais les importateurs et les distributeurs auront eux aussi leur part de responsabilité. Ils ne devront commercialiser que des produits dûment homologués.
Concrètement, que changera le Cyber Resilience Act pour les fabricants ?
Le CRA imposera « des obligations de cybersécurité à tous les produits numériques présentant une connexion directe ou indirecte à une machine ou un réseau ». Les objets connectés seront répartis en 2 grandes familles selon leur niveau de risque. En fonction de leur classification, ils seront soumis « à des procédures de vérification plus ou moins strictes pour démontrer leur conformité aux obligations de cybersécurité », précise la note du Parlement. Pour les objets les moins critiques, cela consistera en une auto-évaluation. Les produits présentant un enjeu plus important devront, eux, être certifiés par « un organisme d’évaluation de la conformité ».
Pourquoi le Cyber Resilience Act est-il décrié par certaines entreprises ?
D’abord, des questions se posent sur ces organismes mentionnés par le Parlement comme devant certifier les objets IoT. Dans un communiqué, l’entreprise de cybersécurité Venafi s’alarme que « les personnes accordant la certification aux logiciels [soient] susceptibles d’être issues d’un environnement non technique ». Selon Matt Barker, directeur des solutions cloud natives de l’éditeur, « il existe[rait] un risque d’incohérences et d’erreurs ».
Surtout, c’est le « fardeau » administratif qui inquiète les entreprises. Le terme a été employé par Blackberry, consulté par le Parlement durant l’élaboration du texte. Car les fabricants devront non seulement certifier leurs produits avant leur mise sur le marché mais aussi « déployer des tests réguliers, garder trace des vulnérabilités identifiées et y remédier grâce à des mises à jour ou patchs gratuits ». Dès les discussions autour du texte, l’Association de l’industrie de l’informatique et de la communication (CCIA) a pointé du doigt des obligations qu’elle juge « excessives ». « Le CRA va imposer des exigences administratives et techniques très coûteuses pour les organisations qui diffusent des produits ou des services logiciels », plaide de son côté le Conseil national du logiciel libre (CNLL). « L’étude d’impact de la Commission estime à 30% l’augmentation des coûts de développement pour les PME, ce qui est largement supérieur aux marges habituellement constatées dans le secteur. »
Les PME, plus vulnérables que les grands groupes ?
Le CNLL souligne que toutes les entreprises ne seront pas logées à la même enseigne face à ces nouvelles obligations. « Les grandes entreprises auront moins de mal à surmonter la lourdeur bureaucratique. » Alors « qu’un grand nombre de petites structures risquent d’être dépassées par les exigences en termes de pré-étude et de préparation des documents de conformité », alerte l’association.
Quel serait le risque ?
Le CNLL évoque une « fuite » des fabricants hors d’Europe pour limiter leurs obligations administratives. Avec un risque accru pour la communauté open source. « Elle repose sur les contributions de développeurs aux quatre coins du monde. Mais n’a souvent ni les ressources, ni le savoir-faire pour analyser les implications d’exigences de conformité complexes », souligne Venafi. La CCIA, elle, juge que le texte est de nature à « arrêter le développement de nouvelles technologies et de nouveaux services ».
Des alertes à nuancer
D’abord, la plupart des objets connectés seront soumis aux exigences les plus faibles. Le document du Parlement estime ainsi que « 90% des produits numériques sur le marchés » tombent dans la catégorie non critique. Et pourront donc être auto-certifiés par leurs fabricants.
En outre, le CNLL avance lui-même le fait que « les éditeurs de logiciels libres n’ont pas attendu le CRA pour proposer à leurs clients des contrats où ils s’engagent à assurer la maintenance de leurs logiciels libres ». C’est d’ailleurs le modèle économique de la plupart des organisations du secteur : cette maintenance a lieu « contre une rémunération qui couvre les frais de maintenance mais aussi les frais de R&D nécessaire à la création et à l’évolution de ces logiciels ».
Enfin, l’Europe n’est pas la seule à plancher sur un dispositif de ce type. Le régulateur américain des télécoms (FCC) a dévoilé en juillet un label de cybersécurité pour les produits électroniques. Celui-ci devrait être mis en place courant 2024. L’Europe espère donc être plus rapide pour « devenir le point de référence international en matière de cybersécurité de dispositifs connectés ». Et ainsi donner une longueur d’avance à ses entreprises, mieux préparées aux normes domestiques.