Nouvelle réglementation européenne pour les objets connectés : à partir d'août 2025, les équipements radio connectés à Internet devront répondre à des exigences strictes en matière de cybersécurité (directive RED). Découvrez quels appareils sont concernés et comment garantir leur conformité.
Introduction et cadre juridique
L'IoT (Internet des objets) a connu une diffusion incroyable au cours de la dernière décennie grâce à la mise en œuvre de technologies telles que le Wi-Fi, le Bluetooth et le NFC, rendant les produits interconnectés, se comportant comme des équipements radio et s'introduisant dans les foyers et les installations industrielles du monde entier. Dans le secteur de la cybersécurité, les appareils IoT sont généralement considérés comme un risque de sécurité critique. Tout comme les terminaux du secteur de la maison intelligente sont encore mal sécurisés, voire pas du tout, les installations industrielles et manufacturières présentent parfois d'importantes lacunes en matière de sécurité informatique et opérationnelle. Le chiffre effarant de 5 500 milliards d'euros représente le coût économique mondial de la cybercriminalité en 2020, selon une étude publiée par le Conseil de l'Union européenne. Selon une étude de Trend Micro de 2022, 90 % des entreprises allemandes des secteurs de l'énergie, du pétrole, du gaz et de l'industrie manufacturière ont déclaré avoir été touchées par des cyberattaques dans les 12 mois, entraînant un préjudice moyen d'environ 2,9 millions d'euros. Dernièrement, la diffusion des appareils portables d'une part et d'autre part l'importance toujours croissante de la protection des données, en particulier avec les systèmes basés sur les données d'IA qui jouent un rôle primordial dans l'offre de marché des OEM et des fabricants, ont renforcé la nécessité d'aller au-delà du RGPD (Règlement (UE) 2016/679) et de la directive R&TTE (99/5/CE), qui, compte tenu du délai dans lequel ils ont été conçus et sont entrés en vigueur, n'ont pas pris en compte de nombreux aspects des menaces de cybersécurité qui sont désormais bien réels et très importants à prendre en compte.
Dans le cadre du marché unique européen, la directive RED établit des exigences en matière de compatibilité électromagnétique (CEM), de sécurité électrique et d'utilisation efficace et efficiente du spectre radioélectrique (RF), qui dépendent principalement du matériel et des logiciels de bas niveau. Outre ces obligations existantes, la directive introduira également, à compter d'août 2025, des exigences de cybersécurité, qui seront principalement influencées par les logiciels de haut niveau. La directive européenne sur les équipements radioélectriques (RED) 2014/53/UE est en vigueur depuis le 13 juin 2016, remplaçant la précédente directive R&TTE 1999/5/CE et reprenant la plupart des définitions du RGPD. Afin de renforcer la cybersécurité et la protection des données, la Commission européenne a adopté le règlement délégué (UE) 2022/30 le 29 octobre 2021, complétant la RED par des obligations de cybersécurité de la RED européenne en vertu des articles 3(3)(d), (e) et (f).
Les catégories spécifiques d’équipements radio concernés par ce règlement comprennent :
- Équipements radio connectés à Internet : appareils capables de communiquer via Internet, directement ou via d'autres équipements. Cela englobe une large gamme d'appareils électroniques grand public tels que les smartphones, les tablettes et les objets connectés.
- Équipement radio conçu ou destiné exclusivement à la garde d'enfants: Appareils spécifiquement conçus pour surveiller ou aider à la garde d'enfants, y compris les moniteurs pour bébé.
- Équipements radio couverts par la directive sur la sécurité des jouets 2009/48/CE: Jouets qui intègrent des fonctions radio et sont capables d'enregistrer, de stocker ou de partager des informations, d'interagir avec les utilisateurs (en particulier les enfants) ou d'intégrer des composants tels que des haut-parleurs, des microphones ou des capteurs.
- Équipement radio portable : Appareils conçus pour être portés, attachés ou suspendus à n'importe quelle partie du corps humain ou des vêtements. Exemples : montres connectées, trackers d'activité, casques, écouteurs ou lunettes connectées.
Il est à noter que les dispositifs médicaux sont exclus des dispositions du Règlement délégué (UE) 2022/30, car ils sont soumis à leurs propres dispositions spécifiques en matière de cybersécurité en vertu des Règlements (UE) 2017/745 et (UE) 2017/746. Il en va de même pour d'autres dispositifs déjà couverts par la réglementation européenne existante, exclus du champ d'application de la directive RED, tels que ceux de l'aviation civile (Règlement (UE) 2018/1139), des systèmes de télépéage routier (Directive 2019/520), etc.
Ce règlement de conformité à la directive sur les équipements radio devait initialement s'appliquer à compter du 1er août 2024. Cependant, afin de donner aux fabricants un délai supplémentaire pour se conformer, la Commission européenne a prolongé la date d'application d'un an. La nouvelle date limite de conformité obligatoire pour le règlement délégué (UE) 2022/30 est désormais le 1er août 2025. Cette date est imminente pour les fabricants, qui doivent envisager d'accélérer la mise en œuvre des mesures techniques pour se conformer aux exigences supplémentaires. Les distributeurs d'appareils des fabricants contenant des modules de connectivité et les intégrateurs/OEM doivent prendre en compte ces nouvelles exigences lors du développement de leurs produits intégrés et connectés utilisant des équipements radio produits par les fabricants.
Caractéristiques techniques pour la protection de la vie privée, des données personnelles et contre la fraude
Le règlement délégué (UE) 2022/30 complète la directive sur les équipements radioélectriques (RED) par le biais de trois articles essentiels, chacun traitant de mandats spécifiques liés à la cybersécurité pour les équipements radioélectriques.
- L'article 3(3)(d)traite de toutes les exigences courantes en matière de cybersécurité, notamment pour les équipements radio connectés à Internet. Cette disposition stipule que les équipements radio doivent être conçus de manière à ne pas endommager le réseau ou ses fonctions, à ne pas abuser des ressources du réseau ni à provoquer une dégradation inacceptable du service, empêchant ainsi l'appareil de perturber le fonctionnement du site web ou des services.
- L'article 3(3)(e)inclut des exigences de sécurité communes visant spécifiquement les équipements radio traitant des données personnelles. En vertu de cet article, les équipements radio doivent intégrer des garanties garantissant la protection des données personnelles et de la vie privée des utilisateurs et des abonnés, en prescrivant des mesures visant à empêcher l'accès ou la transmission non autorisés de ces données.
- L'article 3(3)(f)introduit des exigences visant à prévenir la fraude. Il couvre notamment les équipements radio capables de traiter de la monnaie virtuelle ou des valeurs monétaires, exigeant que ces appareils soient dotés de fonctionnalités de sécurité spécifiques, telles qu'un meilleur contrôle de l'authentification des utilisateurs, qui protègent contre les activités frauduleuses.
De plus, la directive RED reconnaît les risques potentiels liés à la combinaison d'équipements radio et de logiciels, notamment en ce qui concerne la conformité après modifications. L'article 4 exige des fabricants qu'ils fournissent des informations sur la conformité des combinaisons prévues d'équipements radio et de logiciels. Cela garantit qu'après l'installation de logiciels nouveaux ou modifiés, les équipements radio restent conformes aux exigences essentielles de la directive.
Comment se conformer ?
Le 28 janvier 2025, la Commission européenne a harmonisé trois normes EN 18031 dans le cadre de la directive RED, établissant ainsi une procédure plus claire pour les fabricants afin de démontrer leur conformité en matière de cybersécurité. Il est toutefois essentiel de noter que certaines clauses de ces normes comportent des restrictions spécifiques. Cela signifie que les fabricants ne peuvent pas automatiquement présumer une conformité totale en se contentant d'adhérer à ces normes harmonisées. Par exemple, les produits permettant une utilisation sans protection obligatoire par mot de passe, ou les produits ne disposant pas du contrôle d'accès parental nécessaire, peuvent nécessiter des mesures de conformité supplémentaires, allant au-delà des normes elles-mêmes.
Dans de tels cas, les fabricants doivent contacter directement un organisme notifié, désigné par un pays de l'UE et chargé d'évaluer la conformité des produits avant leur mise sur le marché. Les organismes notifiés effectuent des tâches liées aux procédures d'évaluation de la conformité définies par la législation applicable lorsqu'une évaluation par un tiers est requise. La Commission européenne tient à jour une liste officielle de ces organismes. Le recours à un organisme notifié garantit que les produits des fabricants répondent à toutes les exigences spécifiques de cybersécurité définies par la directive RED, en tenant compte des éventuelles limitations des normes harmonisées.
De plus, les fabricants doivent mettre en œuvre proactivement des mesures de cybersécurité robustes, notamment des mécanismes de démarrage sécurisé, l'authentification mutuelle et des pratiques de mise à jour de sécurité cohérentes. Ces pratiques répondent non seulement aux objectifs essentiels de RED en matière de protection des données personnelles et de prévention de la fraude, mais renforcent également la sécurité globale des appareils.
Compte tenu de l'évolution constante du paysage réglementaire, les fabricants doivent se tenir informés en permanence des mises à jour des normes harmonisées et des exigences plus larges de cybersécurité de la directive RED. Un dialogue régulier avec des experts du secteur, tels que le SECO, et la participation à des formations ou ateliers pertinents peuvent contribuer considérablement à la préparation à la conformité.
Le rôle du SECO et du Clea
SECO bénéficie d'une solide expérience en R&D et en assurance qualité, se positionnant comme un partenaire de confiance engagé à s'adapter aux évolutions réglementaires telles que la Directive sur les équipements radioélectriques (RED). SECO suit en permanence l'évolution des normes réglementaires relatives aux appareils IoT, collabore activement avec les laboratoires de certification et entretient un dialogue ouvert avec ses clients afin de garantir la préparation et le soutien aux futures exigences de conformité.
Clea, la suite logicielle IoT complète du SECO, offre une valeur ajoutée significative aux fabricants qui s'efforcent de se conformer aux futures exigences de cybersécurité RED. Clea offre des outils performants pour l'orchestration sécurisée des données, la gestion des appareils et les applications pilotées par l'IA, ce qui en fait une solution stratégique pour les fabricants qui œuvrent activement à la conformité RED. Grâce à des fonctionnalités telles que l'authentification SSL mutuelle, la rotation des certificats et les mises à jour OTA (Over-the-Air) sécurisées, Clea améliore la gestion de la sécurité des terminaux et l'intégrité du réseau, aidant ainsi les fabricants à mettre en place des cadres de cybersécurité robustes répondant aux futurs besoins réglementaires. De plus, grâce à l'intégration de la plateforme premium Exein pour la cybersécurité des appareils IoT, et plus particulièrement de Runtime Security et d'Analyzer, la flotte connectée est protégée en temps réel et les vulnérabilités sont détectées automatiquement avant et après le déploiement.
De plus, Clea sert de plateforme d'accompagnement aux fabricants en transition vers la servitisation, offrant des fonctionnalités telles que la monétisation des données, des modèles d'abonnement et des pipelines d'IA/ML intégrés via le portail Clea. Grâce à cette approche proactive, SECO démontre son engagement à aider ses clients à relever les défis de conformité réglementaire tout en ouvrant de nouvelles perspectives de croissance et d'innovation.
Visitez SECO.com pour découvrir comment SECO peut aider les entreprises à développer des produits intelligents conformes à la norme RED avec une sécurité IoT de pointe, des capacités de servitisation et une connectivité transparente.