Elle est devenue un axe majeur de réflexion de notre siècle : la cybersécurité est dans toutes les conversations. Le problème est simple, précis, clairement énoncé : il faut protéger l’utilisateur, sa vie privée et ses données. Le développement des nouvelles technologies et la multiplication des données impliquent donc une nouvelle réflexion et la création de nouveaux outils pour protéger au mieux les utilisateurs. Les législations se cumulent, les dispositifs se succèdent dans l’Union européenne et les Etats membres. Le maître mot est toujours le même : protéger. La Commission Européenne, à la tête de cette lutte depuis quelques années, prouve encore une fois son dynamisme sur la question en signant un acte délégué le 29 octobre 2021 ayant pour objectif l’amélioration de la cybersécurité des dispositifs sans fil. Retour sur l’adoption de cet acte, son contenu, sa mise en œuvre et ses conséquences.
Mais d’abord, qu’est-ce que la cybersécurité ? Elle est définie comme l’ensemble des moyens utilisés pour assurer la sécurité des systèmes et des données informatiques d’un Etat ou d’une entreprise. On comprend donc facilement pourquoi elle est devenue l’un des enjeux de notre temps. Les systèmes et les données informatiques se multipliant, il faut assurer la protection de leurs utilisateurs. La Commission Européenne l’a d’ailleurs bien compris et c’est pourquoi elle tend à vouloir la consolider davantage. L’acte délégué pris le 29 octobre 2021 participe à ce renforcement en accentuant la cybersécurité des dispositifs et produits sans fil.
De prime abord, l’objet de l’acte peut sembler difficile à appréhender, pourtant cet acte nous touche de front. En effet, sont notamment visés par ce renforcement les smartphones, les tablettes et les montres intelligentes. Bref, il vise des objets bien ancrés dans notre quotidien.
Mais pourquoi en renforcer la cybersécurité ? Le constat de la Commission Européenne est en fait alarmant : les dispositifs sans fil (les portables et tablettes notamment), tels que conçus puis vendus actuellement ne protègent pas suffisamment la vie privée et les données à caractère personnel de leurs utilisateurs. Ainsi, selon les derniers chiffres, 80% des cyberattaques sont dirigées contre des équipements sans fil. Dans son étude, la Commission souligne par ailleurs que certains dispositifs tirent profit de ce faible niveau de sécurité et profitent des cyberattaques, pour enregistrer des enfants en train de jouer ou voler des données personnelles.
Ce temps semble désormais révolu ! En effet, il est prévu dans l’acte adopté, que les fabricants de dispositifs sans fil doivent désormais inclure dans leur produit des caractéristiques techniques améliorant le niveau de cybersécurité avant de les mettre sur le marché européen. Concrètement, cela implique l’intégration de fonctionnalités au sein des produits pour éviter leur détournement dans le but de nuire aux réseaux de communication. De plus, les équipements devront comporter des fonctionnalités garantissant la protection des données à caractère personnel et de la vie privée. Enfin, ils devront également comporter des éléments permettant de réduire le risque de fraude lorsqu’ils sont utilisés pour effectuer des paiements électroniques. Le cahier des charges des fabricants est donc particulièrement alourdi. Pour autant, le présent acte ne s’applique pas à tous les dispositifs sans fil. S’il est certain que les smartphones tablettes, caméras électroniques, équipements de télécommunication, jouets et dispositifs de surveillance des nourrissons ainsi que les montres intelligentes sont concernés par l’acte, il n’en va pas de même des véhicules à moteur ou des systèmes de télépéage routier expressément exclus.
Ainsi l’acte impose des obligations essentielles formulées en des termes généraux. Les objectifs sont donc exposés, c’est une première étape. La deuxième étape est de les atteindre. Mais comment ? il est prévu que la Commission donne mandat aux organismes européens qui en collaboration avec les fabricants mettront en place des solutions techniques pour répondre aux exigences. La mission des organismes européens est simple : établir des normes harmonisées. Ces normes, une fois validées, pourront ensuite fournir aux fabricants et à leur produit une présomption de conformité
à l’acte. Ainsi pour se prévaloir de cette présomption, les fabricants devront adopter une solution technique établie dans les normes harmonisées. Il ne suffira pas de le dire, il faudra également le faire. Pour le démontrer, ils devront donc se soumettre à une procédure de conformité avant la mise sur le marché de leur produit. Il est d’ores et déjà prévu que celle-ci puisse prendre deux formes :
- Soit la forme d’une autoévaluation lorsque le produit a été conçu conformément à des normes harmonisées ;
- Soit la forme d’une évaluation réalisée par un tiers appartenant à un organisme indépendant, qu’une norme harmonisée ait été ou non utilisée.
Tout semble donc être mis en œuvre pour rassurer les utilisateurs. Le champ d’application de l’acte est d’ailleurs large puisqu’il s’applique non seulement à l’industrie européenne mais aussi à tout fabricant hors UE qui a l’intention de mettre un produit sur le marché de l’UE. En revanche, assez logiquement, les produits déjà sur le marché ne sont pas concernés par l’acte.
Si toutes ces dispositions sont des plus rassurantes et annonciatrices de bonnes nouvelles, ils n’en demeurent pas moins que leur entrée en vigueur est conditionnée. En effet, il appartient désormais au Parlement européen et au Conseil d’examiner la proposition. La clé est donc entre leurs mains. La Commission semble néanmoins confiante sur l’avenir de ce projet qui, s’il venait à être définitivement adopté, s’imposerait aux Etats membres, puisqu’il prend la forme d’un règlement, jurisprudence Van Gend en Loos obligeant.
Ainsi, cet acte constitue une étape importante dans le renforcement du niveau de cybersécurité des dispositifs sans fil. Il n’en est pourtant pas l’unique, la loi de cyber résilience présentée en décembre 2020 et dont le contenu est encore flou devra participer à ce renforcement et permettra de compléter la protection initiée par l’acte d’octobre 2021. L’utilisateur peut donc être rassuré, l’horizon pour sa sécurité s’éclaircit fortement et est au cœur des discussions actuelles. Affaire à suivre donc !
Sources :
. La Commission renforce la cybersécurité des dispositifs sans fil (europa.eu)
. La Commission renforce la cybersécurité des dispositifs et produits sans fil | Commission européenne – Communiqué de presse | PubAffairs Bruxelles