Cybersécurité
des appareils IoT
Tout appareil connecté est une porte d'entrée potentielle. Caméras, capteurs, passerelles, wearables, équipements domotiques : le marché IoT explose, et avec lui les exigences réglementaires en matière de cybersécurité.
Depuis le 1er août 2025, la directive RED impose des exigences de cybersécurité obligatoires pour tous les appareils radio connectés mis sur le marché européen. Le Cyber Resilience Act vient renforcer ce cadre pour l'ensemble des produits comportant des éléments numériques.
RED & CRA
La directive RED (Radio Equipment Directive) encadre depuis 2014 la mise sur le marché des équipements radio en Europe. Son article 3.3, entré en application le 1er août 2025, introduit trois nouvelles exigences de cybersécurité obligatoires pour les appareils connectés à internet ou capables de communiquer avec d'autres appareils : protection des réseaux, protection des données personnelles et protection contre la fraude.
Ces exigences se traduisent concrètement par l'obligation pour le fabricant de démontrer que son appareil ne compromet pas la sécurité du réseau auquel il est connecté, qu'il protège les données personnelles et la vie privée de l'utilisateur, et qu'il intègre des mécanismes de protection contre les accès non autorisés. La conformité à ces exigences est prouvée en priorité par l'application des normes harmonisées de la série EN 18031.
Le Cyber Resilience Act complète ce dispositif avec des exigences transversales applicables à tous les produits comportant des éléments numériques, au-delà des seuls équipements radio. Il impose une gestion documentée des vulnérabilités sur toute la durée de vie du produit, une politique de mises à jour de sécurité, une déclaration de conformité et un dossier technique complet. Les fabricants suisses qui commercialisent leurs produits en Europe sont directement concernés par les deux textes.
Säfeli vous aide à déterminer précisément quels textes s'appliquent à votre produit, à évaluer les écarts avec les exigences en vigueur et à construire une stratégie de conformité adaptée à votre calendrier de mise sur le marché.
ANALYSE DE RISQUE CYBER
L'analyse de risque cyber est le point de départ incontournable de toute démarche de conformité pour un appareil IoT. Elle permet d'identifier les surfaces d'attaque du produit, de modéliser les scénarios de menaces pertinents et de définir les mesures de protection à mettre en place. C'est également une exigence explicite du Cyber Resilience Act et un prérequis à l'application des normes EN 18031.
Pour un appareil connecté, les surfaces d'attaque sont multiples : interfaces de communication sans fil (Wi-Fi, Bluetooth, Zigbee, LoRa), interfaces physiques (USB, UART, JTAG), API cloud, mécanismes de mise à jour du firmware, protocoles de communication entre appareils. Chacune de ces surfaces représente un vecteur d'attaque potentiel qui doit être évalué et documenté.
Säfeli conduit ces analyses de risque en s'appuyant sur des méthodologies structurées adaptées aux produits IoT. La démarche couvre l'identification des actifs à protéger et de leurs propriétaires, la modélisation des menaces sur chaque interface, l'évaluation de la criticité des scénarios d'attaque et la définition des contre-mesures à implémenter. Les résultats alimentent directement la conception sécurisée du produit et la documentation de conformité.
Pour les fabricants en phase de développement, cette analyse intervient idéalement en amont des choix d'architecture. Un problème identifié à ce stade coûte dix fois moins cher à corriger qu'une fois le produit en production. Säfeli peut intervenir dès les premières phases de conception pour intégrer la cybersécurité dans les choix structurels du produit.
EN 18031
La série EN 18031 est la famille de normes harmonisées développée pour répondre aux exigences de l'article 3.3 de la directive RED. Elle constitue le principal moyen de présomption de conformité pour les fabricants d'appareils connectés : un produit conforme aux normes EN 18031 applicables est présumé conforme aux exigences cyber de la RED, ce qui simplifie considérablement la démonstration de conformité.
La série comprend trois normes principales, chacune ciblant une catégorie de produits et d'exigences spécifiques. La EN 18031-1 couvre la protection des réseaux de communication : elle définit les exigences relatives aux mécanismes de contrôle du trafic réseau, à la protection des interfaces de communication et à la résistance aux attaques par déni de service. La EN 18031-2 porte sur la protection des données personnelles et de la vie privée : gestion des données utilisateur, minimisation des données collectées, mécanismes d'authentification et de contrôle d'accès. La EN 18031-3 traite de la protection contre la fraude financière, applicable aux appareils qui transmettent ou traitent des données financières ou monétaires.
Pour chaque norme, la conformité se démontre par la mise en place de mesures techniques concrètes et leur documentation dans le dossier technique. Säfeli analyse votre produit au regard des exigences EN 18031 applicables, identifie les écarts, recommande les mesures à mettre en place et produit la documentation nécessaire à la déclaration de conformité CE.
Il est important de noter que les normes EN 18031 sont relativement récentes et que leur interprétation dans le contexte de produits spécifiques peut nécessiter une expertise pointue. Säfeli dispose de cette expertise et suit activement l'évolution de ces normes et de leur application par les autorités de surveillance du marché.
DOCUMENTATION ET DOSSIER TECHNIQUE
Pour un appareil IoT soumis à la RED et au CRA, la preuve de conformité repose sur une documentation rigoureuse. Le marquage CE ne peut être apposé que si le fabricant dispose d'un dossier technique complet démontrant que le produit satisfait à toutes les exigences applicables, y compris sur le plan de la cybersécurité.
Le volet cybersécurité du dossier technique d'un appareil connecté comprend l'analyse de risque cyber documentée avec les mesures de mitigation associées, la description des fonctionnalités de sécurité implémentées et leur correspondance avec les exigences EN 18031, les résultats des tests de sécurité réalisés sur le produit, la politique de gestion des vulnérabilités et des mises à jour de sécurité, et la procédure de divulgation coordonnée des vulnérabilités exigée par le CRA.
La notice d'utilisation doit également intégrer les informations de sécurité destinées à l'utilisateur final : conditions d'utilisation sécurisée, gestion des mots de passe, recommandations réseau. Ces éléments sont souvent oubliés par les fabricants et constituent pourtant une exigence explicite des textes applicables.
Säfeli produit l'ensemble de cette documentation en s'appuyant sur sa double expertise en certification CE et en cybersécurité des produits connectés. Le dossier technique est structuré pour répondre simultanément aux exigences de la RED, du CRA et des normes EN 18031, de manière cohérente et directement exploitable pour la déclaration de conformité. Pour les fabricants qui travaillent avec des distributeurs ou des donneurs d'ordre européens, ce dossier constitue également un argument commercial solide.
QUESTIONS FRÉQUENTES
Mon produit est-il concerné par les nouvelles exigences cyber de la RED ?
Si votre produit émet ou reçoit des signaux radio et peut se connecter à internet ou communiquer avec d'autres appareils, il est très probablement concerné par l'article 3.3 de la RED. Cela inclut les appareils Wi-Fi, Bluetooth, Zigbee, LoRa, cellulaires et tout autre protocole radio. Säfeli peut vous aider à déterminer précisément le périmètre d'application pour votre produit.
Les exigences RED article 3.3 sont-elles déjà obligatoires ?
Oui. L'article 3.3 de la RED est entré en application le 1er août 2025. Tout appareil radio connecté mis sur le marché européen après cette date doit satisfaire aux nouvelles exigences de cybersécurité. Les produits déjà sur le marché bénéficient d'une période de transition, mais les nouvelles mises sur le marché sont immédiatement concernées.
Quelle est la différence entre la RED et le Cyber Resilience Act ?
La RED s'applique spécifiquement aux équipements radio et impose des exigences de cybersécurité via son article 3.3. Le CRA est plus large : il couvre tous les produits comportant des éléments numériques connectés, qu'ils soient radio ou non. Pour un fabricant d'appareils IoT, les deux textes s'appliquent généralement de manière complémentaire. La conformité aux normes EN 18031 contribue à satisfaire les deux.
Les normes EN 18031 sont-elles obligatoires ?
Les normes EN 18031 ne sont pas obligatoires en elles-mêmes, mais elles constituent le principal moyen de présomption de conformité aux exigences cyber de la RED. Un fabricant peut choisir de démontrer la conformité par d'autres moyens, mais cela implique une documentation plus lourde et peut nécessiter l'intervention d'un organisme notifié. Appliquer les EN 18031 est dans la grande majorité des cas la voie la plus efficace.
Combien de temps prend la mise en conformité RED cyber pour un produit IoT ?
Cela dépend fortement de l'état de départ du produit et de la complexité de son architecture. Pour un produit en cours de développement qui intègre la cybersécurité dès la conception, le délai est maîtrisable. Pour un produit existant qui doit être rétrofité, les modifications peuvent être significatives. Säfeli réalise d'abord une évaluation de l'écart pour vous donner une estimation réaliste avant tout engagement.
Säfeli peut-il accompagner à la fois le marquage CE complet et la cybersécurité IoT ?
C'est précisément la valeur ajoutée de Säfeli. La plupart des experts en certification CE ne maîtrisent pas les normes EN 18031, et la plupart des experts en cybersécurité ne connaissent pas les exigences du marquage CE. Säfeli combine les deux, ce qui permet de produire un dossier technique cohérent couvrant l'ensemble des exigences applicables à votre produit connecté.
ILS NOUS FONT CONFIANCE
