« La cybersécurité devient un élément incontournable de l’homologation des produits »

Le Cyber Resilience Act et le règlement européen sur les machines : ce que les fabricants doivent savoir dès maintenant - Entretien avec Jürgen Leng

Le règlement européen sur les machines (UE) 2023/1230 et le Cyber Resilience Act (CRA) définissent de nouvelles exigences en matière de sécurité des machines. À l’avenir, les fabricants devront non seulement prendre en compte et documenter de manière systématique la sécurité fonctionnelle, mais aussi la protection contre les cyberrisques. Dans cet entretien, Jürgen Leng, expert en normalisation et responsable du développement commercial chez Schlegel, explique les points de vigilance pour les entreprises et comment Schlegel propose, avec 2BSecure, une solution de protection concrète.

Monsieur Leng, comment les entreprises doivent-elles se préparer au CRA et au règlement sur les machines en matière de sécurité ?

Jürgen Leng : Avec le nouveau règlement européen sur les machines (UE) 2023/1230 et le CRA, la cybersécurité devient, pour la première fois, une composante obligatoire de la sécurité des machines. Outre la sécurité fonctionnelle, les fabricants devront désormais intégrer et documenter de manière systématique la protection contre les cyberrisques. Une exigence nouvelle importante concerne la protection contre ce que l’on appelle la « corruption », définie à l’annexe III, section 1.1.9, du règlement sur les machines. Ce terme, issu de la normalisation, désigne la manipulation ou la modification non autorisée de machines, de logiciels ou de paramètres susceptible de compromettre les fonctions de sécurité.

Qu’implique cela concrètement ?

La norme prEN 50742, intitulée « Protection des machines contre la corruption », fournit aux fabricants des lignes directrices concrètes. Elle définit comment les machines doivent être conçues et exploitées afin d’empêcher toute altération, qu’elle soit involontaire ou intentionnelle.

L’accent est notamment mis sur :

la protection des accès aux machines et aux systèmes de commande
la sécurisation des interfaces externes
la protection contre les versions logicielles altérées
la garantie de l’intégrité des fonctions critiques pour la sécurité

Parallèlement, le CRA impose, pour la première fois au niveau de l’UE, de démontrer clairement la cybersécurité des machines connectées.

Quelles sont les exigences concrètes du Cyber Resilience Act pour les fabricants de machines ?

Le CRA impose aux fabricants de garantir la cybersécurité tout au long du cycle de vie du produit, de sa conception jusqu’à sa fin de vie. Les principales exigences sont les suivantes :

Sécurité dès la conception et par défaut : La cybersécurité doit être intégrée dès la phase de développement. Les produits ne doivent pas comporter de mots de passe par défaut et les interfaces inutilisées doivent être désactivées.
Évaluation des risques et gestion des vulnérabilités : Une analyse systématique des risques cyber est obligatoire avant la mise sur le marché. Les vulnérabilités identifiées doivent être documentées et corrigées rapidement.
Mises à jour de sécurité obligatoires : Elles doivent être fournies pendant au moins cinq ans ou pendant toute la durée de vie prévue du produit.
Transparence : Tous les composants logiciels (y compris logiciel libre) doivent être déclarés afin d’assurer la transparence tout au long de la chaîne d’approvisionnement (Software Bill of Materials – SBOM).
Obligations de notification : Les incidents de sécurité majeurs doivent être signalés aux autorités compétentes.
Évaluation de la conformité et marquage CE : Selon la classe de risque, des auto-évaluations ou des audits externes sont requis. Les exigences du CRA feront en outre partie intégrante de l’évaluation de conformité CE.

Pour les fabricants de machines, cela signifie que la cybersécurité fera désormais partie intégrante de l’homologation des produits.

Quels produits sont concernés par le CRA ?

Le CRA s’applique à tous les produits comportant des éléments numériques, fabriqués, importés ou commercialisés dans l’UE. Son champ d’application est donc très large et couvre tous les produits connectés à des réseaux ou à d’autres dispositifs. Les produits sont classés en différentes catégories de risque, en fonction notamment de leur potentiel de dommage. Les produits utilisés dans les infrastructures critiques, la production industrielle ou le secteur de l’énergie relèvent, par exemple, d’une catégorie de risque plus élevée. Pour les fabricants, cela implique des procédures d’évaluation de la conformité plus approfondies et plus exigeantes.

Quel est actuellement le niveau de risque lié aux cyberattaques ?

Il est déjà élevé aujourd’hui, et les entreprises en sont conscientes. Selon le rapport économique 2025 de l’association Bitkom en Allemagne, 72 % des répondants estiment que le niveau de menace est élevé. Par ailleurs, environ 66 % des entreprises allemandes ont été victimes de vols de données au cours des douze derniers mois. Environ 70 % de ces attaques sont attribuées au crime organisé. Le montant des dommages causés par les interruptions d’activité, le vol ou la détérioration des systèmes d’information, des systèmes de production et des processus opérationnels a augmenté de près de 20 milliards d’euros entre 2024 et 2025, pour atteindre 73,3 milliards d’euros.

Le sujet est donc plus que jamais d’actualité. Cela vaut également pour le calendrier du CRA : L’obligation de notification des vulnérabilités et des incidents de sécurité entrera en vigueur le 11 septembre 2026. À partir du 11 décembre 2027, tous les nouveaux produits devront être entièrement conformes au CRA.

La sécurisation des interfaces externes fait partie des mesures de protection contre la « corruption ». Pourquoi ces interfaces sont-elles souvent négligées ?

Le risque lié aux interfaces physiques des machines est souvent sous-estimé. Avec la mise en réseau croissante des machines dans le cadre de l’Industrie 4.0, le risque de cyberattaques via les ports USB ou Ethernet augmente également. Ces interfaces, souvent nécessaires pour la maintenance, peuvent aussi constituer des points d’entrée pour des attaques. Elles permettent d’introduire des logiciels malveillants, d’exfiltrer des données ou de modifier les paramètres des machines. Des mesures de protection techniques adaptées peuvent ici faire une réelle différence.

Avec 2BSecure, SCHLEGEL a développé un système de protection des interfaces. Comment fonctionne-t-il concrètement ?

2BSecure est une solution matérielle compacte qui s’installe entre l’interface et le périphérique final. Elle est compatible avec les interfaces USB-A, USB-C et Ethernet. Le système repose sur une approche préventive : Les interfaces sont désactivées par défaut et ne peuvent être activées que de manière ciblée par des personnes autorisées, via un interrupteur à clé ou une technologie RFID. Seuls les utilisateurs autorisés peuvent ainsi activer les ports et transférer des données, ce qui permet de contrôler les accès et d’empêcher efficacement toute manipulation. La solution protège à la fois les systèmes de commande des machines et les données sensibles du réseau.

L’intégration nécessite-t-elle des efforts importants ?

Non, la solution a été conçue pour être facilement intégrable. Elle peut être utilisée aussi bien sur des machines neuves que sur des installations existantes et s’intègre avec un minimum d’effort dans les infrastructures machines et informatiques existantes. Elle s’inscrit ainsi pleinement dans le principe de « security by design ».

Dans quelle mesure les exigences réglementaires ont-elles influencé le développement ?

Les exigences issues du règlement sur les machines et du CRA ont été un moteur déterminant, car elles imposent des mesures de protection vérifiables contre les accès non autorisés et les manipulations. En assurant une protection contrôlée des interfaces physiques, 2BSecure permet de répondre concrètement à ces exigences et de réduire les risques de manière mesurable.

Zip