L’ANFR contribue aux nouvelles exigences en matière de cybersécurité

08 février 2022

L’Agence nationale pour la sécurité des systèmes d’information (ANSSI) définit la cybersécurité comme un « état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense. »

En d’autres termes, la cybersécurité correspond à la protection des données numériques. Derrière la notion de cybersécurité se cache toujours un aspect de prévention, avec l’intention de prévenir des attaques.

Des équipements connectés vulnérables

Depuis son introduction, l'Internet des objets (IoT) a connu une expansion continue, avec un nombre grandissant d’objets connectés conduisant à l’augmentation des vulnérabilités pouvant avoir des impacts très critiques. La connectivité étant désormais une fonctionnalité incontournable pour beaucoup de produits, elle est un impératif pour les équipements industriels et de télécommunication. Elle est également présente dans les équipements radioélectriques destinés à l’enfance tels que les jouets ou les babyphones.

De nouvelles exigences dès 2024

Plusieurs exemples récents ont démontré que la plupart des équipements radioélectriques n’assuraient pas une protection suffisante contre les risques en matière de cybersécurité, il a donc été nécessaire de rendre applicables, pour certaines catégories d’équipements radioélectriques, de nouvelles exigences essentielles.

C’est dans ce contexte que l’ANFR a œuvré durant plusieurs mois au sein des instances européennes en charge de la directive 2014/53/UE applicable aux équipements radioélectriques, pour que de nouvelles exigences visant à garantir un niveau minimal de protection contre les atteintes au réseau, à la protection des données à caractère personnel et de la vie privée des utilisateurs ainsi qu’à la protection contre la fraude soient adoptées. A la suite de ces travaux, la commission européenne a publié le 12 janvier 2022 au JOUE le règlement délégué (UE) 2022/30 du 29 octobre 2021 complétant la directive 2014/53/UE en ce qui concerne l’application des exigences essentielles relatives à la cybersécurité visées à l’article 3, paragraphe 3, points d), e) et f), de cette directive. Ces nouvelles exigences seront applicables à partir du 1er aout 2024.