Si vous gérez des opérations industrielles dans l'Union européenne (UE)—ou si vous développez la technologie sur laquelle elles s'appuient—alors la cybersécurité devient votre norme pour la conception et le déploiement des produits connectés.
Afin d’établir des exigences obligatoires en matière de cybersécurité pour les produits comportant des éléments numériques, l’UE a élaboré le Cyber Resilience Act (CRA) en 2024 ; des étapes importantes pour se conformer à ces exigences sont prévues en 2026 et 2027.
L'ARC redéfinit ce qui est acceptable pour les exploitants et les propriétaires d'actifs à mettre en service à mesure qu'ils modernisent et étendent leurs opérations connectées .
Comment les obligations de l'ARC influencent l'achat et le déploiement des produits
Les obligations de conformité aux CRA incombent en premier lieu aux fabricants qui mettent en vente sur le marché de l'UE des produits comportant des éléments numériques. Ils sont responsables du respect des exigences formulées par l'ARC, quel que soit l'endroit où se trouve leur siège social.’’
Mais l’impact quotidien touchera les exploitants et les propriétaires d’actifs ; ils seront chargés de s’assurer que les produits qu’ils achètent sont conformes aux exigences de la CRA. ’ Cela modifiera la manière dont les exigences en matière d'approvisionnement sont établies, dont les attentes relatives au cycle de vie sont planifiées et dont les échanges avec les fournisseurs concernant les vulnérabilités et les mises à jour sont gérés.
Par exemple, l'ARC facilitera les démarches auprès des fabricants pour obtenir des réponses claires concernant :
- Réponse aux vulnérabilités critiques
- Disponibilité des mises à jour de sécurité
- Comment les produits sont sécurisés dès leur conception
Ces exigences concernent également les équipementiers et les constructeurs de machines dont les équipements sont mis sur le marché de l'UE.
Comment la conformité aux CRA s'intègre dans le paysage de la cybersécurité de l'UE
Les équipes de sécurité et d'exploitation industrielles connaissent déjà les réglementations telles que NIS2, CER et les directives spécifiques au secteur. Considérez l'ARC comme un complément à ces exigences, rehaussant le niveau de sécurité des produits qui assurent le bon fonctionnement des opérations industrielles. Elle normalise la manière dont ces produits sont conçus, documentés, évalués et entretenus.
La CRA est par définition large, destinée à s'appliquer aux produits impliquant des logiciels ou une logique numérique sous une forme ou une autre. En milieu industriel, cela comprend souvent :
- Pare-feu et systèmes de détection/prévention d'intrusion
- Routeurs, modems et commutateurs
- Systèmes de gestion de réseau
- Systèmes d'exploitation
Les produits conformes aux normes CRA font également partie du système de marquage CE. Ce symbole indique qu'un produit répond aux exigences de sécurité et de compatibilité électromagnétique (CEM) ainsi qu'aux attentes de CRA en matière de cybersécurité. Il s'agit du marquage que les autorités nationales de surveillance du marché de chaque État membre de l'UE rechercheront lors des enquêtes et du contrôle de la conformité aux CRA.’
Les produits sont sécurisés dès leur conception : voici ce que cela signifie’
CRA exige que les produits soient livrés avec des configurations sécurisées qui réduisent les chemins d'attaque courants et découragent les déploiements non sécurisés. Elle met l'accent sur les contrôles de sécurité fondamentaux plutôt que sur les fonctionnalités haut de gamme. Cela signifie moins de paramètres par défaut risqués, moins de conjectures de configuration et un niveau de protection global plus élevé.
Cela modifiera les attentes des propriétaires et des exploitants vis-à-vis des fabricants en matière de conception des produits, de gestion des vulnérabilités et de support tout au long du cycle de vie, influençant ainsi la manière dont les opérations connectées peuvent être gérées de façon sûre et durable.
Gestion prévisible des vulnérabilités par les fabricants
CRA impose au fabricant la responsabilité d'identifier et de corriger les vulnérabilités tout au long du cycle de vie du produit—et ensuite de communiquer sur l'impact et la correction. Pour les équipes de sécurité et d'exploitation industrielles, cela devrait réduire les conjectures lors d'incidents. Les analyses d'impact, les recommandations en matière d'atténuation des risques et la disponibilité des correctifs suivront un processus cohérent.
Communication claire concernant les périodes de support produit
Les fabricants devront communiquer avec les propriétaires et les exploitants sur ce que signifie le support, sur la durée pendant laquelle les mises à jour de sécurité seront fournies aux produits qu'ils achètent et sur la manière dont ces mises à jour seront appliquées. “” Cela impose une planification claire du cycle de vie des produits pour de meilleures décisions en matière de fin de support, notamment sur les marchés industriels où les équipements sont déployés pendant des années ou des décennies.
Une meilleure documentation pour faciliter le déploiement et le fonctionnement sécurisés.
La documentation fait partie des exigences de conformité de l'ARC. Les fabricants doivent tenir à jour des dossiers techniques internes démontrant aux propriétaires et aux exploitants comment les exigences de sécurité sont satisfaites. Ces fichiers devraient également fournir des conseils aux propriétaires et aux exploitants sur la manière de prendre en charge une installation sécurisée et un fonctionnement à long terme.
Belden fabrique des produits conformes aux normes CRA
CRA va redéfinir les attentes en matière d'équipements de mise en réseau et d'automatisation industrielles. La cybersécurité deviendra un attribut non négociable des produits comportant des éléments numériques..
En tant que fabricant réputé pour privilégier la sécurité lors du développement de ses produits, Belden fournit des produits de réseau industriel sécurisés et un support à long terme tout au long de leur cycle de vie, permettant ainsi leur intégration en toute confiance dans vos programmes de sécurité.
En combinant un développement sécurisé basé sur la norme IEC 62443-4-1, une harmonisation globale des processus et une approche de maintenance à long terme, Belden vise à vous accompagner dans votre navigation au sein de la CRA.
Pour une explication plus détaillée des obligations de la CRA et des conseils sur la façon de transformer les exigences en un plan d'action concret, téléchargez notre guide : Comprendre la loi sur la cyber-résilience : ce que les fabricants, les exploitants et les propriétaires d'actifs doivent savoir.