Cybersécurité en Europe
un enjeu majeur qui est désormais incontournable
Depuis le 1er Août 2025, les appareils électriques et électroniques soumis aux exigences de la directive RED 2014/35/EU doivent également se conformer aux règles de Cybersécurité. En complément, la publication du réglement sur la cyberrésilience (CyberResilience Act) 2024/2847, renforce les obligations des opérateurs économiques.
Plus que jamais, la Cybersécurité est totalement intégrée et indissociable du marquage CE.
Nous avions déjà aborder le sujet dans un précédent article avec une rapide présentation des enjeux, nous allons désormais passer en revue les options proposées aux fabricants et autres responsables de la mise sur le marché pour préparer leur dossier de conformité.
Cet article vise à informer les entreprises, fabricant ou important des appareils électriques connecté ainsi que les Start-ups développant des projets sur les attentes en matière de conformité.
Cybersécurité
La transformation numérique de l’économie et de la société s’est accélérée au cours des dernières années et a créé des défis comme la cybersécurité. Dans la mesure où notre rapport aux technologies digitales a augmenté au quotidien, les cyberattaques deviennent de plus en plus coûteuses.
La cybersécurité est devenue très importante et une priorité essentielle de l’UE.
Les cyberattaques sur les organisations peuvent avoir des impacts très concrets. Les conséquences sont souvent de nature financière, par exemple dans le cas d’attaques par rançongiciels. Il existe aussi des enjeux d’image, notamment lorsqu’un site Internet est affecté ou plus généralement, que l’attaque subie par une entreprise nuit à la confiance envers celle-ci.
Lorsque des systèmes d’information sont atteints, c’est parfois le fonctionnement même de l’organisation qui peut être entravé; on parle alors de sabotage. Les attaques peuvent ainsi avoir des effets dévastateurs sur les organisations et les personnes, en particulier lorsqu’elles visent des systèmes d’information critiques : on peut imaginer les conséquences d’une action malveillante sur les systèmes d’un hôpital ou d’un service de transport.
Les attaques ciblant les organisations peuvent avoir d’autres effets sur les personnes, par exemple dans le cas où les données personnelles confiées à un organisme sont dérobées à la suite d’une attaque et utilisées à d’autres fins (chantage à la webcam, usurpation d’identité, etc.).
La norme ETSI EN 303 645, longtemps considérée comme un référentiel majeur des exigences de cybersécurité, définie 13 provisions et recommandations pour la conception de systèmes.
connectés, utilisées comme base de travail pour l’établissement des réglementations.
Parmi les « bonnes pratiques » les plus efficaces, on trouve :
Un enjeu de souveraineté
Avec les Etats-Unis, l’Union Européenne est l’une de première régions du monde à avoir implanté un cadre législatif pour définir des exigences minimales en matière de Cybersécurité.
Pour autant, les initiatives sont de plus en plus nombreuses et beaucoup de projets sont en cours dans plusieurs autres pays.
A date, les principales réglementations remarquables sont :
Union Européenne
Tout d’abord, la directive RED 2014/35/EU définit les exigences de cybersécurité au travers de l’article 3.3 comme ci-dessous :
(d) Réseaux, fonctionnements et ressources – Les équipements radio ne doivent pas perturber le fonctionnement des réseaux
Mise en conformité
Comme pour toute évaluation de conformité, la 1re étape consiste à mener une analyse des risques et des vulnérabilités potentiels du système.
C’est cette analyse qui permet ensuite de définir les axes de travail et les modules d’évaluation appropriés.
Sans cette phase préparatoire, c’est probablement une perte de temps et d’efficacité qui attend le candidat.
Analyse des Risques et des Vulnérabilités
Quelles sont les failles potentielles du système dans le cadre de son utilisation prévue ?
Identification des évaluations
Lire les normes et comprendre les exigences.
Préparation du dossier technique
Collecte des informations qui seront exigées par l’organisme d’évaluation.
Evaluations par Organisme accrédité
Déclaration de conformité et marquage CE
A mettre à jour avec le rapport d’analyses obtenu.
Selon quelles normes ?
Depuis le 1er août 2025, les opérateurs économiques concernés doivent donc intégrer dans leur dossier technique les preuves de conformité liées à ces exigences, afin de pouvoir maintenir le marquage CE de leur(s) appareil(s).
Pour ce faire, le plus évident reste d’évaluer son système selon les normes harmonisées, citées au Journal Officiel de L’Union Européenne (JOUE).
Toutes les évaluations décrites dans ces normes vont avoir pour but de tester la robustesse des mécanismes d’authentification, de contrôles des accès, de stockage des données et des procédures de mises à jour du système.
Il faut penser à étudier chacune de ces normes en fonction des spécificités de votre système.
Par exemple, si votre système n’intègre pas de transaction financière, seules les norme EN 18031-1 et EN 18031-2 vont vous intéresser.
L’EN 18031-3 ne sera pas considérée pour vos évaluations.
Normes Harmonisées à la Directive RED
EN 18031-1 : équipements radioélectriques connectés à l'internet
Cette norme traite des évaluations liées aux actifs de sécurité et protection des réseaux.
EN 18031-2 : équipements radioélectriques qui traitent des données
A savoir les équipements radioélectriques connectés à l’internet, les équipements radioélectriques destinés à la garde d’enfants, les jouets dotés d’équipements radioélectriques et les équipements radioélectriques portables.
Cette norme traite des évaluations liées aux actifs de sécurité et protection des données.
EN 18031-1 : équipements radioélectriques connectés à l'internet qui traitent une monnaie virtuelle ou de la valeur monétaire
Cette norme traite des évaluations liées aux actifs financiers.
Qui doit mener ses évaluations ?
Dans la majorité des cas, la directive laisse la possibilité au fabricant de choisir ces méthodes d’évaluations.
Cependant, devant la complexité du dossier à constituer et le détail des essais décrits par les normes harmonisées, nous conseillons vivement de faire évaluer son système par un organisme indépendant et accrédité.
Le rapport de conformité qui sera émis à l’issue de l’expertise permettra de constituer une preuve suffisante pour apposer le marquage CE et rassurer les utilisateurs et clients.
Et tout sera conforme pour le CyberResilience Act également ?
Le CyberResilience Act entrera en vigueur partiellement à partir du 11 septembre 2026, et complétement à partir du 11 décembre 2027.
Si les méthodes d’évaluations de la conformité semblent pouvoir être héritées des exigences de la Directive RED 2014/35/EU, le nouveau règlement va apporté beaucoup de nouvelles exigences pour les fabricants.
Un article dédié est en préparation et sera publié prochainement.
