L’Europe veut s’armer contre la cybercriminalité avec le Cyber Resilience Act

Assez des cyberattaques ? La loi sur la cyberrésilience, ou Cyber Resilience Act a été adoptée par les députés européens le 12 mars dernier et arrive en application dans les mois à venir, avec l’ambition de changer la donne en termes de sécurité des systèmes numériques en Europe.

Alors que les systèmes numériques sont littéralement au cœur des sociétés modernes, leurs potentielles faiblesses face aux attaques informatiques deviennent des sources de risques majeurs – vol de données privées, espionnage entre états ou encore guerre économique. Citons par exemple le cas de Mirai, attaque à grande échelle en 2016, utilisant le détournement de dispositifs grand public comme des caméras connectées pour surcharger des domaines Internet d’entreprise, attaque de type DDoS (déni de service distribué). Mirai a entrainé entre autres l’arrêt ou des difficultés majeures dans les accès à de grands sites comme GitHub, Netflix ou Reddit. Les dispositifs connectés grand public sont la cible privilégiée de ce genre d’attaque.

Pour les systèmes informatiques critiques (dispositifs de santé connectés, cartes à puce, transports autonomes) le besoin de sécurité est donc toujours plus élevé. Une régulation stricte en matière de cybersécurité a été rendue obligatoire et concerne des milliers d’entités appartenant à plus de dix-huit secteurs jugés sensibles (banques et infrastructures financières, transports, santé, infrastructures et fournisseurs de services numériques, etc.). Cependant, la cybermenace ne s’arrête pas à ces secteurs sensibles et critiques. Les attaques visent aussi de multiples secteurs et les particuliers non concernés par ces précédentes directives de cybersécurité.

Sécuriser tous les secteurs, pas seulement les plus critiques

Le Cyber Resilience Act vise désormais la totalité des secteurs sans distinction, avec l’ambition de changer la donne en termes de sécurité des…