Le règlement européen sur la cyberrésilience énumère les exigences de sécurité pour tout produit numérique mis sur le marché au sein de l’UE. Les systèmes de test jouent un rôle important dans la conformité à ces exigences.
Qu’est-ce que l’ARC ?
En 2020, l’Union européenne a annoncé le règlement sur la cyberrésilience (ARC) dans le cadre de sa stratégie de cybersécurité. L’ARC a été adopté en mars 2024 et est entrée en vigueur au second semestre de la même année. Certaines exigences sont entrées en vigueur dès 2025, et toutes les autres le seront d’ici 2027.
L'ARC protège les consommateurs en interdisant la vente de produits présentant des caractéristiques de sécurité inadéquates. Ce texte impose un marquage CE indiquant que le produit est conforme aux nouvelles normes. Tous les fabricants et détaillants sont donc tenus de prioriser la cybersécurité dans le cadre de leurs produits. Ce texte concerne tous les produit qui se connectent à un réseau ou à un autre appareil, directement ou indirectement. Cette définition large englobera l’ensemble des périphériques connectés : montres intelligentes, babyphones, voitures intelligentes ou encore les réseaux électriques.
Les exigences de l’ARC sont décrites dans l’Annnexe I. Leurs applications concrètes pour votre équipe de test dépend de la solution que vous fournissez à votre client : par exemple si vous modifiez des produits destinés aux consommateurs, ou si vous créez et fournissez des systèmes de test complets.
Test de produits à destination du marché européen
Si vous testez des produits envoyés en Europe, vous devrez peut-être travailler avec votre équipe de sécurité pour identifier les implications concrètes des exigences de l’ARC pour votre système de test. Votre équipe de sécurité devra évaluer le risque suivant : est-ce qu’une vulnérabilité sur votre système de test pourrait impacter la conformité des produits que vous expédiez ? Pour les systèmes qui s’interfacent uniquement avec votre appareil via des signaux analogiques, le risque est probablement très faible. Mais si votre système de test se connecte à l’appareil via une connexion réseau ou une autre interface de test, le risque qu'une attaque se propage de votre système à l’appareil est bien plus important.
Il y a quelques années, certains cadres photo numériques grand public contenaient un virus, qui attaquait ensuite d'autres ordinateurs sur le réseau de l'utilisateur final. Les enquêteurs ont découvert que le virus était installé pendant le processus de fabrication. Les systèmes de test sont justement conçus pour éviter ce genre de problème.
Construction de systèmes de test en Europe
Si vous achetez des composants pour construire des systèmes de test en Europe, ils devront porter le nouveau marquage CE à partir de 2027. Si vous préparez vos prochains systèmes actuellement, travaillez avec des fournisseurs comme NI qui connaissent l’ARC et qui permettront de garantir votre conformité. Chez NI, nous rencontrons déjà des clients pour échanger sur notre stratégie de conformité et leur démontrer que nous répondrons à leurs besoins futurs.
Livraison de systèmes de test en Europe
Si vous développez des systèmes de test et que vos clients se trouvent au sein de l’Union Européenne, vous devrez démontrer que vos systèmes répondent aux exigences de l’ARC. En d’autres termes, les composants que vous achetez devront être conformes et porter le marquage CE. Cela signifie également que le travail que vous effectuez pour développer et créer le système correspond à ces exigences. Vous devrez opter pour une stratégie de développement qui couvre l’intégralité de l'Annnexe I. Nous aborderons ces thèmes dans l’article suivant, Exigences de l’ARC de l’UE.