L’humain n’est pas le seul maillon faible de la sécurité, les objets connectés peuvent être aussi un vecteur de cyberattaque puissant, comme le montre l’exemple ancien de Mirai. Face à cette menace et au manque de transparence sur la sécurité de ces objets, la Commission européene veut renforcer leur protection à travers un cadre réglementaire.

Cette proposition de règlement, dont un projet a circulé dans plusieurs rédactions, porte sur la cyber-résilience et comprend un volet couvrant l’IoT. On notera que tous les dispositifs ne sont pas concernés, comme par exemple les équipements médicaux. L’objectif du texte est de fixer des exigences essentielles en matière de conception, de développement et de production aux fabricants de produit IoT avant le lancement des terminaux sur le marché. Ils seront obligés de surveiller et de corriger les vulnérabilités pendant l’ensemble du cycle de vie du produit via des mises à jour automatiques et gratuites.

Une liste soumise à évaluation de conformité et des sanctions

La liste des exigences essentielles comprend un niveau « approprié » de cybersécurité, l'interdiction de lancer des produits présentant une vulnérabilité connue, le security by design, la protection contre les accès non autorisés, la limitation des surfaces d'attaque et la minimisation de l'impact des incidents. Les produits doivent garantir la confidentialité des données, notamment en utilisant le chiffrement, en protégeant leur intégrité et en ne traitant que les données strictement nécessaires à leur fonctionnement.

Le texte prévoit par ailleurs de fixer une liste des produits critiques présentant un risque plus élevé. Ils seront divisés en deux classes avec un processus spécifique d’évaluation de la conformité pour chacune des classes. Dans le cadre de l’IoT, la classe II couvre « les lecteurs de cartes, les capteurs robotiques, les compteurs intelligents et tout l'IoT, les routeurs et les pare-feux à usage industriel ». Les entreprises de cette classe devront obtenir des certificats obligatoires attestant qu'elles satisfont aux exigences de base en matière de cybersécurité. Celles qui ne s'y conformeront pas seront passibles d'une amende pouvant atteindre 15 millions d'euros ou 2,5 % du chiffre d'affaires mondial de l'année précédente. Dans la proposition, le montant le plus élevé a été retenu.