Security-by-Design dans la production

Depuis 2024, le Règlement sur la cyberrésilience est en vigueur dans l’UE. Les réglementations qui entreront définitivement en vigueur fin 2027 s’appliquent à presque tous les « produits comportant des éléments numériques » commercialisés sur le marché européen. Avec le spécialiste de la sécurité informatique, nous avons discuté de ce que cela signifiait pour les fabricants de machines, d’appareils et de logiciels.

« Règlement sur la cyberrésilience dit : nous voulons une UE qui est également résiliente face aux cyberattaques au niveau des produits », explique M. Buchenberg. « Ce sont des thématiques concrètes qui occuperont durablement de nombreuses entreprises. Il serait souhaitable que tous les acteurs concernés s’y attellent dès à présent. » En effet, ils doivent mettre en œuvre toutes les nouvelles exigences à compter de décembre 2027.

« La liste est longue et les entreprises s’exposent à de lourdes sanctions si elles ne respectent pas ces obligations », souligne le spécialiste de la sécurité informatique. « Les produits concernés doivent être développés et fabriqués selon une approche Security-by-Design. Ils doivent être commercialisés ‹ sans vulnérabilités exploitables ›, disposer de mesures de sécurité intégrées, garantir la sécurité des données et minimiser les surfaces d’attaque numériques. »

En outre, il existe une obligation de notification et d’élimination des vulnérabilités qui s’applique encore après la vente. « Les développeurs de logiciels doivent mettre à disposition des mises à jour de sécurité pendant cinq ans, par exemple, afin de combler ces failles, et ce gratuitement », comme l’explique M. Buchenberg. « Si un fabricant livre une fraiseuse avec une commande et une IHM, il doit mettre des mises à jour du micrologiciel à disposition pendant des années. »

Non seulement il explique, mais il propose aussi des solutions concrètes. Vous découvrirez de quelles solutions il s’agit dans le Panorama N° 1/2026 aux pages 26 et 27.