IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les appareils intelligents connectés à Internet devront se conformer à des règles strictes de l'Union européenne en matière de cybersécurité
Sous peine de se voir infliger une amende ou d'être bannis

Le , par Sandra Coret
12 commentaires

1PARTAGES

4  0 
Les appareils intelligents connectés à Internet, tels que les réfrigérateurs et les téléviseurs, devront se conformer à des règles strictes de l'Union européenne en matière de cybersécurité, sous peine de se voir infliger une amende ou d'être bannis de l'Union, selon un document de la Commission européenne

Les préoccupations relatives aux attaques de cybersécurité se sont accrues ces dernières années à la suite d'incidents très médiatisés où des pirates informatiques ont endommagé des entreprises et exigé d'énormes rançons.

L'exécutif européen annoncera sa proposition, connue sous le nom de "loi sur la cyber-résilience", le 13 septembre. Il est probable qu'elle devienne une loi après que les pays de l'UE auront apporté leur contribution.

Selon le document, les règles pourraient réduire le coût des cyberincidents pour les entreprises de 290 milliards d'euros (289,8 milliards de dollars) par an, contre des coûts de mise en conformité d'environ 29 milliards d'euros.

Les fabricants devront évaluer les risques de cybersécurité de leurs produits et prendre les mesures appropriées pour résoudre les problèmes, précise le document.

Les entreprises devront notifier les incidents à l'ENISA, l'agence de cybersécurité de l'UE, dans les 24 heures dès qu'elles auront connaissance des problèmes, et prendre des mesures pour les résoudre.


Les importateurs et les distributeurs seront tenus de vérifier que les produits sont conformes aux règles de l'UE.

Si les entreprises ne s'y conforment pas, les autorités nationales de surveillance pourront "interdire ou restreindre la mise à disposition de ce produit sur le marché national, le retirer de ce marché ou le rappeler", précise le document.

Les entreprises qui enfreignent les règles peuvent se voir infliger des amendes allant jusqu'à 15 millions d'euros ou jusqu'à 2,5 % de leur chiffre d'affaires mondial total, le montant le plus élevé étant retenu, les amendes étant moins élevées pour les infractions moins graves.

Source : Document de la Commission européenne

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

L'UE évolue vers un règlement relatif aux cryptomonnaies et attire l'attention avec l'abandon de la terminologie de bannissement de l'algorithme de preuve de travail : adoption tacite du bitcoin ?

La loi européenne sur l'intelligence artificielle peut avoir un effet dissuasif sur les efforts en matière de logiciels libres, avertissent les experts de la Brookings Institution

La Commission européenne critiquée et poursuivie pour avoir enfreint ses propres lois sur la protection des données, l'organisme de réglementation aurait transféré aux États-Unis des données

Une erreur dans cette actualité ? Signalez-nous-la !

12 commentaires
Commenter Signaler un problème
pierre-y
Avatar de pierre-y
Membre chevronné https://www.developpez.com
Le 10/09/2022 à 10:57
Amazon qui arose généreusement le parlement européen mais qui veut quand même cartographié nos baraque, ça va se situer ou?
2  0 
HaryRoseAndMac
Avatar de HaryRoseAndMac
Membre extrêmement actif https://www.developpez.com
Le 28/01/2023 à 3:15
L'europe est entrain de sombrer dans un totalitarisme fou !

Il est plus que temps de mettre à un terme à la gouvernance de ces "dirigeants" qui n'en sont pas et de les faire destituer au plus vite.
1  0 
totozor
Avatar de totozor
Membre expert https://www.developpez.com
Le 30/01/2023 à 8:32
[Sarcasme]C'est du génie:
1. On impose une règlementation que seuls les grands peuvent se payer (on assure le maintien de ceux qu'on condamne en façade)
2. En imposant cette règlementation, on impose une certification - que nous allons assurer (On fait entrer des sous dans les caisses pour un service que personne ne demande)
3. Ce surcout sera escaladé au consommateur (nous) mais c'est pas grave on fait ça pour leur bien, ils vont être content

Voici ce que nous appelons le capitalisme moderne : faire payer des gens un service qu'ils n'ont jamais demandé pour sa propre survie et sous couvert de leur bien

T'es pas d'accord, on s'en fout, on te demande pas ton avis[/Sarcasme]
1  0 
totozor
Avatar de totozor
Membre expert https://www.developpez.com
Le 12/09/2022 à 8:04
Je pensais que cette loi servait surtout à "protéger" les particuliers mais :
Citation Envoyé par Sandra Coret Voir le message
Les préoccupations relatives aux attaques de cybersécurité se sont accrues ces dernières années à la suite d'incidents très médiatisés où des pirates informatiques ont endommagé des entreprises et exigé d'énormes rançons.
Les entreprises se font vraiment piratées via leur électroménager connecté?
Je sais par exemple que nous avons plusieurs réseaux dans mon entreprise, je serais très surpris que les télé promotionnelles ou les outils de saisie sans accès sécurisé soient reliée au réseau de prodution.
0  0 
mith06
Avatar de mith06
Membre expérimenté https://www.developpez.com
Le 12/09/2022 à 8:43
L'analyse systématique des messages privés à la recherche de matériel d'abus sexuel d'enfants (CSAM) est-elle compatible avec leurs règles sur la cybersécurité?

https://www.developpez.com/actu/333424/L-UE-declare-la-guerre-au-chiffrement-de-bout-en-bout-et-exige-l-acces-aux-messages-prives-sur-n-importe-quelle-plateforme-au-nom-de-la-protection-des-enfants/
0  0 
Mickael_Istria
Avatar de Mickael_Istria
Membre émérite https://www.developpez.com
Le 01/02/2023 à 18:32
Pour mettre le feu au debat, je suis plutot favorable a cette idee dans le fond. Et pourtant je fais 100% de mon dev en open-source autour d'Eclipse et d'autres projets de la Fondation (donc dans les contraintes dont parle Mike Milinkovich).
En fait, l'informatique atteint un age tres mature, et -comme prevu- a conquis le monde. Et donc, on commence a voir que des mauvais logiciels sont des sources de problemes pour la societe (eg des ransomwares qui bloquent les hopitaux a cause de failles logicielles). Au meme titre que les tuyaux de gaz, les bitumes des routes, les prises electriques, le legiciel arrive a etre critique au point de pouvoir etre un danger pour l'utilisateur et la societe s'il est trop mal fait. Ca parait donc interessant qu'une entitie politique censee representer le peuple decide de s'interesser au sujet en demandant des contraintes ou certification de securite aux fournisseurs de logiciels. L'objectif final semble etre une plus grande securite logicielle pour les citoyens et la societe. Si on peut le faire, pourquoi pas?
Apres, pour l'open source, il reste la question de qui est le fournisseur: est-ce que le fournisseur est l'auteur du code ou le consommateur qui l'embarque dans son application finale (potentiellement commerciale)? Mon experience avec l'OSS c'est qu'en realite, l'auteur de code OSS ne prend pas la responsabilite en cas de problemes et qu'il s'agit d'un partage de code au niveau R&D et non produit, cela n'empeche pas l'OSS d'etre de qualite produit, mais cela n'est pas une garantie qui est offerte sans contrepartie aux consommateurs, et le fait que le code soit ouvert est cense permettre aux consommateurs d'etablir la confiance dont ils ont besoin et eventuellement de faire certifier ce dont ils ont besoin pour leur business (apres tout, c'est le consommateur qui y gagne plus que le fournisseur, c'est normal que ce soit lui qui prenne en charge les frais de mise sur le marche). Je pense qui Mike et autres essayent de faire du lobbying pour rendre cette interpretation explicite dans la proposition de loi.
La ou la fondation et/ou la communaute Eclipse a un positionnement bancal, qui predate a cette proposition mais qui pese tres lourd ici, c'est qu'elle a tendance a se croire pour un editeur: c'est une fondation OSS mais elle ne se content pas de faire de la collaboration projet comme le fait eg le projet Linux: la fondation Eclipse heberge des quasi-produits comme l'Eclipse IDE, Glassfish, Temurin... et a ce titre, en se comportant comme un fournisseur de logiciels finaux, elle l'est peut-etre un peu. Avec quelques autres collegues influents chez Eclipse, on se demande et on demande a la communaute Eclipse en general, si le modele de fournir des binaires aux utilisateurs n'est pas en soit un probleme. Rester au niveau "le projet met a dispo les sources, aux consommateurs de builder" comme le font Gnome ou le kernel Linux presente au final des avantages sur la responsabilisation des consommateurs vis-a-vis de l'open-source: en devant builder eux-memes, il devient clair qu'ils ont interet a contribuer, et qu'ils deviennent responsable de la qualite du resultat. Ca remet les choses au clair tant au niveau organisationnel qu'au niveau juridique.

Par contre, j'imagine que la proposition de loi en l'etat a de claires lacunes qui devront etre corrigees. Il est beaucoup plus dur d'ecrire une bonne loi que d'ecrire du code. Il est normal que des critiques soient fait pour proteger les bases du domaines, que la societe civile et la sphere politique n'ont pas forcement a leur connaissance immediate. Mais j'apprecie l'intention de cette proposition de loi.
0  0 
Mickael_Istria
Avatar de Mickael_Istria
Membre émérite https://www.developpez.com
Le 01/02/2023 à 18:41
Et j'en rajoute une couche: de part le code source ouvert et accessible, l'open-source a en fait une avance certaine sur le code close-source. Il peut etre audite et certifie sans devoir creer de documentation technique intermediaire, il est naturellement plus securise de part son exposition a plus de lecteurs. Donc ce CRA pourrait meme etre un avantage competitif de l'OSS par rapport au code ferme.
0  0 
totozor
Avatar de totozor
Membre expert https://www.developpez.com
Le 02/02/2023 à 8:46
J'aime ton point de vue mais je me pose des questions en tant que néophyte
Citation Envoyé par Mickael_Istria Voir le message
Apres, pour l'open source, il reste la question de qui est le fournisseur: est-ce que le fournisseur est l'auteur du code ou le consommateur qui l'embarque dans son application finale (potentiellement commerciale)?[...]l'auteur de code OSS ne prend pas la responsabilite [...], cela n'empeche pas l'OSS d'etre de qualite produit, mais cela n'est pas une garantie[...] aux consommateurs, [...] permettre aux consommateurs d'etablir la confiance [...] de faire certifier
Désolé d'avoir haché le texte mais ça permet de mettre en avant ce qui me semble l'articulation de la reflexion.
Si je suis le consommateur de l'open source, je deviens le fournisseur d'un service couvert par la proposition.
Donc je vais être audité sur mon produit et je vais devoir justifier de la qualité de mon socle l'open source.
Et là il y a quelques choix :
- je t'imposes un audit pour me couvrir du risque que ton code représente
- je prends la responsabilité de l'analyse et de la garantie de la certification de ton code (ça coute et je ne vais probablement jamais accepter d'assumer ça)
- je te demande le certificat au moment où j'utilise ton code
- je n'utilise plus ton code et je vais payer un autre pour le service et le certificat

D'un point de vue capitaliste je ne gagne rien à payer pour la certification d'un produit récupérer.
Si je veux rendre ça "rentable" je t'achètes pour gagner le bénéfice de mon investissement.
Donc à la fin, on pousse (passivement) l'Open Source à disparaitre par impuissance face au système certificatif.

Citation Envoyé par Mickael_Istria Voir le message
il devient clair qu'ils ont interet a contribuer, et qu'ils deviennent responsable de la qualite du resultat. Ca remet les choses au clair tant au niveau organisationnel qu'au niveau juridique.
Dans l'industrie, un risque on le tue (s'il est technique on s'assure de le faire disparaitre), on le transfert (technique de la patate chaude) ou on l'assure (je paye une assurance qui payera à ma place le jour où il s'avère).
Si le fonctionnement est identique, je n'ai pas intérêt à prendre en charge le risque lié au travail d'un autre (sauf s'il est tellement petit que ça ne me coute - virtuellement - rien)
Citation Envoyé par Mickael_Istria Voir le message
Il peut etre audite et certifie sans devoir creer de documentation technique intermediaire, il est naturellement plus securise de part son exposition a plus de lecteurs. Donc ce CRA pourrait meme etre un avantage competitif de l'OSS par rapport au code ferme.
Dans l'industrie un auditeur ne certifiera (il prend une responsabilité juridique quand il le fait) jamais un objet s'il n'est pas décrit par une doc technique.
Les auditeurs que j'ai croisé n'aiment pas ce qui est naturel, ils aiment ce qui est écrit.
Il y a pas longtemps on s'est fait épinglé parce qu'un opérateur ne respectait pas la procédure mais avait une attitude plus sécurisante qu'elle. (Ce n'est pas l'opérateur qui se fait épingler mais le responsable de la procédure)
0  0 
Mickael_Istria
Avatar de Mickael_Istria
Membre émérite https://www.developpez.com
Le 02/02/2023 à 9:51
Dans le cas de l'OSS...

Citation Envoyé par totozor Voir le message
- je t'imposes un audit pour me couvrir du risque que ton code représente
Tu ne peux rien imposer à l'auteur d'un code. Tu peux négocier, embaucher, acheter... mais sans un contrat qui donne des contreparties, l'utilisateur n'a pas d'influence forte sur l'auteur.

je te demande le certificat au moment où j'utilise ton code
Si un projet OSS a déjà été certifié (et que le commanditaire de la cetification le permet), alors ça ne pose pas de problème pour le projet de le partager. Au contraire, cette certification devient un label de qualité, l'avoir est un avantage concurrenciel. Donc les projets cetifiés seront finalement assez contents de l'exhiber pour gagner en crédibilité.

- je prends la responsabilité de l'analyse et de la garantie de la certification de ton code (ça coute et je ne vais probablement jamais accepter d'assumer ça)-
Certains n'auront pas le choix. Des projets sont tellement ancrés qu'ils sont quasi irremplaçables et qu'il faudra bien qu'un ou plusieurs consommateurs s'organisent pour le certifier quand le CRA sera la.

- je n'utilise plus ton code et je vais payer un autre pour le service et le certificat
Ce n'est pas forcément toujours plus rentable que de payer un audit.
Mais concrètement, ça consolide aussi des business-model OSS: le projet est OSS communautaire, non certifié et un éditeur contributeur peut décider de prendre une version et de la certifier et de la vendre avec la certif. C'est déjà le business-model de Red Hat (mon employeur) par exemple, qui vend par exemple Red Hat Enterprise Linux (RHEL) qui est un rebuild d'une ancienne version testée, stabilisée, documentée... de Fedora (qui est communautaire) et les gens paye Red Hat pour ce bonus de qualité. De la même manière, Red Hat payera surement la certification pour RHEL ou des parties de Fedora pour avoir la possibilité de continuer à vendre RHEL; et les gens qui doivent utiliser un OS certifié viendront donc préférer encore plus RHEL -et payer Red Hat- que de prendre d'autres distros qui ne sont pas certifiées.

Mais aussi, tu oublies des possibilités:
- Le consommateur paye l'audit/la certif de la brique OSS dont il a besoin et la contribue au projet => Le projet développe un avantage compétiftif et gagne alors en pérennité ce qui peut rendre le coût de l'audit rentable à moyen terme
- Plusieurs consommateurs s'accordent à partager les frais de la certif pour en bénéficier tous, de la même manière qu'on partage déjà le développement, les coûts d'infra... Les fondations ou consortiums open-source peuvent être les bons acteurs pour centraliser ça. => Le coût de la certif est partagé car le code est partagé, l'OSS a alors un avantage car elle permet ça plus facilement que du code fermé ou du dev interme.

D'un point de vue capitaliste je ne gagne rien à payer pour la certification d'un produit récupérer.
Si tu n'as pas le choix et qu'il ne te faut que du certifié, tu te poseras la question de comment être le plus rentable possible. Payer un audit sur un code externe que tu ne maintiens pas sera probablement moins cher que de payer un même audit sur un code sur un code que tu maintiens en interne; et restera potentiellement moins cher que de payer des licences... Ca dépendra des cas, mais je pense qu'en général l'approche OSS sera en fait encore plus rentable car les coûts d'audit peuvent aussi être partagés.

Si je veux rendre ça "rentable" je t'achètes pour gagner le bénéfice de mon investissement.
Tu ne peux pas acheter du code OSS, il est déjà existant et peut continuer tout seul. Aussi, revenons à l'objectif: ton objectif n'est pas de collectionner les certifications pour les revendre, d'ailleurs en l'état ce n'est pas clair si la certif est attachée à une brique logicielle, à un ensemble, si elle est la propriété de son acheteur (ce qui serait dommage) ou un bien commun que n'importe qui peut réutiliser si il utilise ce même logiciel... Selon ces détails, ça peut changer beaucoup de choses sur le modèle de "rentabilité"; mais quoi qu'il en soit, par rapport à l'état actuel, ce sera jamais rentable: on parle de forcer des coûts supplémentaires au développement, pas de générer plus de business. C'est fondamentalement à perte financièrement. Mais augmenter les coûts de production peut avoir des effets intéressant même sur la rentabilité: ça incite à produire moins, à produire mieux, plus durable.

Donc à la fin, on pousse (passivement) l'Open Source à disparaitre par impuissance face au système certificatif.
Je ne suis toujours pas convaincu que l'OSS soit plus impuissant que le propriétaire par rapport au système certificatif. Pour rappel, le dev OSS représente des millions de développeurs (~12% de l'ensemble de l'activite IT en France), est en croissance plus rapide que la moyenne du secteur; c'est pas 3 geeks dans un garage qui sont démunis, c'est 12% de tous les investissement logiciels du moment, avec un perspective à 15% d'ici 5 ans ( https://cnll.fr/media/2019_CNLL-Synt...urce-Study.pdf ), c'est un pan entier des l'industrie, qui pourra payer des certifs aussi bien voire mieux que pas mal de "petites" boites de logiciels propriétaires.
0  0 
totozor
Avatar de totozor
Membre expert https://www.developpez.com
Le 03/02/2023 à 8:40
Merci, j'y vois un peu plus clair
Citation Envoyé par Mickael_Istria Voir le message
Aussi, revenons à l'objectif: ton objectif n'est pas de collectionner les certifications pour les revendre
Mon objectif est de certifier ce que je veux vendre pour pouvoir le faire.
Dans l'industrie, on doit collectionner les certifications de nos fournisseurs parce que pour certifier mon produit je dois certifier mon travail, celui de mes fournisseur et certains de mes outils.
En pratique, il existe d'autres solutions mais elles sont tellement périlleuses et couteuses qu'on les évites tant que possible.

Cette mécanique fait, qu'a partir d'une taille critique, les entreprises industrielles ont besoin de ces certifications pour maintenir leur clientèle. Certification plus ou moins accompagnée et soutenue par certains clients.

Je trouve cool que l'Open Source s'insert dans le monde plus facilement que certaines activités industrielles.
0  0 
Commenter Signaler un problème