Sécurité et IoT : comment s’adapter aux nouvelles exigences européennes ?
Depuis l’entrée en vigueur de la directive NIS 2 et avec l’entrée en application prochaine du Cyber Resilience Act (« CRA »), les entreprises actives dans le domaine des objets connectés (Internet of Things – « IoT ») entrent dans une nouvelle ère : la cybersécurité devient un sujet de conformité à plusieurs étages, à la fois au niveau produit et au niveau organisationnel.
Le message du législateur européen est clair : sécuriser l’écosystème numérique, du composant embarqué jusqu’à l’entreprise qui l’exploite.
La difficulté principale tient au fait que ces deux textes ne se recouvrent pas totalement, mais se superposent partiellement.
La directive NIS 2 vise avant tout la résilience globale des entités : gouvernance cybersécurité, analyse et gestion des risques, supervision interne, continuité des activités, sécurité de la chaine d’approvisionnement, et surtout notification d’incidents dans des délais stricts. Elle s’inscrit dans une logique de contrôle des organisations et de leur capacité à prévenir et à résister à une cyberattaque.
Le CRA adopte une approche différente : il encadre la mise sur le marché européen de produits comportant des éléments numériques (objets connectés, équipements industriels, logiciels embarqués, etc.). Concrètement, il impose au fabricant de démontrer que le produit a été conçu avec un niveau de sécurité adéquat (security by design), qu’il est livré avec des paramètres sécurisés par défaut (security by default), qu’un processus de gestion des vulnérabilités existe, que des mises à jour de sécurité seront assurées pendant une période cohérente avec la durée d’usage attendue du produit, et qu’une documentation technique permettant de démontrer la conformité est prévue. Le Règlement prévoit enfin des obligations de signalement de vulnérabilités activement exploitées et d’incidents affectant la sécurité du produit.
Dans ce contexte, la question du périmètre exact du CRA nous semble un point susceptible d’être sous-estimé par les fabricants IoT. En effet, la réglementation ne vise pas uniquement l’objet connecté “physique”. Lorsque le produit dépend d’un environnement cloud ou d’un service de traitement de données à distance développé sous la responsabilité du fabricant et indispensable au fonctionnement de l’objet connecté, l’ensemble peut être analysé comme un écosystème unique. Autrement dit, un dispositif IoT et sa plateforme SaaS associée peuvent former un tout indissociable soumis aux exigences CRA, ce qui élargit fortement les obligations de conformité technique et de documentation.
En parallèle, cette même plateforme cloud, considérée comme un service numérique au sens large, peut également entrer dans le champ d’application de NIS 2, si l’entreprise atteint les seuils requis ou relève d’un des secteurs concernés par la directive.
Le risque majeur pour les entreprises est de croire que la conformité CRA “couvre” NIS 2, ou inversement.
L’autorité belge de cybersécurité (CCB) a d’ailleurs confirmé que les deux cadres sont complémentaires : le CRA organise la cybersécurité du produit, tandis que NIS 2 encadre la sécurité des réseaux et systèmes d’information de l’entité.
Enfin, au-delà d’une application “directe”, NIS 2 peut aussi produire des effets indirects sur les fabricants IoT : lorsqu’ils fournissent des produits ou services à des entités essentielles ou importantes (énergie, industrie manufacturière, transport, santé, etc.), ces clients seront tenus de renforcer la sécurité de leur chaîne d’approvisionnement. Concrètement, cela se traduit souvent par des exigences contractuelles accrues (audit, garanties de sécurité, gestion des vulnérabilités, notification d’incidents), qui imposent au fabricant un niveau de conformité élevé même si ses activités n’entrent pas directement dans le champ d’application de NIS 2.
Pour les fabricants IoT, cela implique une conformité à plusieurs niveaux : sécurisation du produit, traçabilité et documentation technique d’une part ; gouvernance, procédures internes, gestion de crise et obligations de notification, d’autre part
Unsere Empfehlung:
Face à ces nouveaux textes exigeants, dont les champs d’application sont complexes, il est essentiel pour toute entreprise de bien évaluer la qualification des services et activités qu’elle développe, afin de pouvoir anticiper les obligations légales applicables et limiter les risques de non-conformité à l’égard des autorités de contrôle ou des clients. Attention d’autant plus nécessaire que les sanctions en cas de non-respect sont potentiellement lourdes.
C’est pourquoi, nous accompagnons les fabricants et fournisseurs IoT afin de sécuriser leur stratégie CRA/NIS 2 et d’éviter des erreurs de qualification coûteuses.
N’hésitez pas à nous contacter !
