Une tasse estampillée "Keep calm and carry on teaching"Photo de Seema Miah sur Unsplash

Cyberrésilience : les compromis (provisoires) du trilogue européen

CSIRT vs ENISA, égalité balle au centre

Avatar de l'auteur
Jean-Marc Manach

Publié dans

DroitSécurité

04/12/2023
3

Une tasse estampillée "Keep calm and carry on teaching"Photo de Seema Miah sur Unsplash

Les négociateurs de l’UE sont parvenus à un « accord politique provisoire » au sujet du règlement sur la cyberrésilience (Cyber Resilience Act), « aplanissant leurs divergences sur les dernières questions en suspens […] après d’intenses débats ».

« Le Parlement a protégé les chaînes d’approvisionnement, en s’assurant que les produits clés tels que les routeurs et les antivirus soient identifiés comme une priorité pour la cybersécurité », a expliqué à Euractiv l’eurodéputé Nicola Danti, Vice-Président du groupe Renew Europe (qui comprend, en France, les partis Renaissance, Mouvement démocrate, le Parti radical et Horizons, NDLR).

Les dispositions finales du texte ont en effet été convenues lors d’une réunion interinstitutionnelle (« trilogue ») entre la Commission européenne, le Parlement et le Conseil.

Les fabricants d’appareils connectés « ne pourront plus lancer de produits sur le marché s’ils ont connaissance de failles de sécurité importantes » susceptibles d’être exploitées par des pirates.

Ils devront a contrario « gérer ces points d’entrée potentiels dès qu’ils en auront connaissance » et ce, « tout au long de la période de maintien en conditions opérationnelles », précise Euractiv.

De plus, lorsque les fabricants auront connaissance d’un incident ou d’une faille de sécurité « activement exploitée », ils devront la signaler et informer les autorités compétentes des « mesures prises pour l’atténuer ».

Une plateforme de notification unique

Le Conseil des ministres de l’UE a transféré cette tâche, « point d’achoppement au cours des négociations », de l’Agence européenne pour la cybersécurité (ENISA) aux centres nationaux de réponses aux incidents de sécurité informatique (CSIRT), « qui ont une tâche similaire en vertu de la directive révisée sur les réseaux et les systèmes d’information » (Networks and Information Systems Directive, NIS2).

Le Parlement européen a de son côté insisté pour que l’ENISA « soit tenue au courant » afin, souligne Euractiv, d’éviter de laisser aux autorités nationales « une trop grande marge de manœuvre et de conserver pour elles-mêmes ces informations hautement sensibles ».

Un compromis a été trouvé : la notification d’une faille de sécurité devra être simultanément envoyée par les fabricants « au CSIRT compétent et à l’ENISA via une plateforme de notification unique ». Les États membres ont cela dit défendu l’idée qu’ils devraient pouvoir « restreindre les informations envoyées à l’ENISA pour des raisons de cybersécurité ».

D’intenses discussions ont abouti à un compromis

Les conditions de ces restrictions, qui « ont fait l’objet d’intenses discussions », ont abouti à un compromis, relève Euractiv. Les CSIRT pourraient ainsi « limiter la notification lorsque le produit concerné est essentiellement présent sur son marché national et ne présente pas de risque pour les autres États membres de l’UE ».

En outre, les autorités nationales « ne seront pas tenues » de divulguer les informations qu’elles « jugent nécessaires à la protection des intérêts essentiels de sécurité ». Une « troisième condition s’applique si le fabricant lui-même décèle un risque imminent en cas de diffusion ultérieure et l’indique dans son signalement », relève Euractiv, sans plus de précisions.

Les eurodéputés ont en outre « obtenu que l’ENISA reçoive toujours certaines informations pour surveiller tout risque systémique sur le marché unique ». L’agence européenne sera en effet « informée du nom du fabricant et du produit concerné, ainsi que de quelques informations générales portant sur son utilisation ».

Le réinvestissement des sanctions n’a pas été tranché

Comme l’avait déjà relevé Euractiv, les organisations à but non lucratif qui commercialisent des logiciels libres sur le marché mais qui « réinvestissent tous les revenus dans des activités à but non lucratif » ont également été exclues du champ d’application du règlement.

Les États membres ont de leur côté obtenu l’exclusion du champ d’application du règlement « tout produit développé ou modifié exclusivement à des fins de sécurité nationale ou de défense ».

La demande du Parlement européen exigeant que les sanctions soient « réinvesties dans des activités de renforcement des capacités en matière de cybersécurité » n’a « pas été incluse dans le corps du texte de loi », conclut Euractiv, « mais une référence dans le chapeau du règlement a été insérée ».

3

Écrit par Jean-Marc Manach

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une plateforme de notification unique

D’intenses discussions ont abouti à un compromis

Le réinvestissement des sanctions n’a pas été tranché

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (3)


potn Abonné
Le 04/12/2023 à 08h 38
> Comme l’avait déjà relevé Euractiv, les organisations à but non lucratif qui commercialisent des logiciels libres sur le marché mais qui « réinvestissent tous les revenus dans des activités à but non lucratif » ont également été exclues du champ d’application du règlement.

Est-ce que cela "protège" efficacement les projets open-source/libres, ou est-ce toujours trop lourd à porter ?
gg40 Abonné
Le 04/12/2023 à 09h 17
Le problème c'est que bcps de projets libres s'appuient sur un service commercial (Prestashop, Matomo, Wordpress...)
Le 04/12/2023 à 09h 29

gg40

Le problème c'est que bcps de projets libres s'appuient sur un service commercial (Prestashop, Matomo, Wordpress...)
Il est tout à fait possible de séparer le logiciel et le service. Cela va demander un peu de travail mais ce serait jouable.

Petite pensée pour Hashicorp qui rate le bus de toutes façons...