Radio Equipment Directive & Cybersécurité

La directive européenne RED (2014/53/UE), qui encadre la mise sur le marché des équipements radio (Wi-Fi, Bluetooth, objets connectés, etc.), va connaître un tournant majeur avec l’entrée en vigueur du règlement délégué (UE) 2022/30 à partir du 1er août 2025. Ce texte introduit de nouvelles exigences en matière de cybersécurité et de protection des données, rendant ces aspects obligatoires pour de nombreux produits.

En parallèle, une nouvelle norme, EN 18031-1, a été publiée pour fournir un cadre technique clair aux fabricants. Elle définit les mécanismes de sécurité à mettre en œuvre pour répondre aux exigences du règlement délégué.

Dans cet article, nous vous expliquons ce que change cette évolution réglementaire, quels produits sont concernés, et comment vous préparer dès maintenant pour garantir la conformité de vos appareils connectés aux futures exigences de cybersécurité.

RED 2014/53/UE

La directive RED (2014/53/UE), ou Radio Equipment Directive, est le texte européen de référence pour tous les équipements qui émettent ou reçoivent des ondes radio. Elle s’applique à une très large gamme de produits : téléphones, objets connectés (IoT), capteurs sans fil, équipements Wi-Fi ou Bluetooth, montres intelligentes, etc.

Champ d’application

La directive RED s’applique à tous les équipements radio mis sur le marché de l’Union européenne, qu’ils soient destinés au grand public ou à un usage professionnel. Elle remplace depuis 2016 l’ancienne directive R&TTE.

Un équipement est concerné s’il remplit au moins l’une des conditions suivantes :

• Il utilise le spectre radioélectrique pour la communication (Wi-Fi, Bluetooth, ZigBee, LoRa, LTE, etc.)

• Il contient un module radio intégré ou externe

• Il émet des signaux intentionnels ou non intentionnels par radiofréquence

Objectifs principaux

La directive RED impose aux fabricants de garantir que leurs produits :

• Assurent la sécurité de l’utilisateur et des tiers (santé, électricité, etc.)

• Ne perturbent pas d’autres équipements radio et fonctionnent correctement dans un environnement électromagnétique

• Utilisent efficacement le spectre radio pour éviter les interférences

• Respectent les exigences réglementaires spécifiques de l’Union européenne, y compris les exigences de conformité, de documentation et de marquage CE

Procédure de conformité

Avant de mettre un produit radio sur le marché européen, le fabricant doit :

• Réaliser une évaluation de conformité selon les exigences essentielles

• Conduire une analyse de risques

• Appliquer les normes harmonisées

• Constituer un dossier technique

• Rédiger une déclaration UE de conformité

• Apposer le marquage CE

  
  

Avec l’entrée en vigueur du règlement délégué (UE) 2022/30, de nouvelles exigences en matière de cybersécurité s’ajoutent à cette procédure. C’est un tournant majeur pour tous les équipements connectés, et cela impose une approche plus rigoureuse en matière de gestion des risques numériques.

Le règlement délégué (UE) 2022/30

Adopté par la Commission européenne, le règlement délégué (UE) 2022/30 complète la directive RED en introduisant des exigences de cybersécurité obligatoires pour les équipements radio connectés. Il entrera pleinement en vigueur le 1er août 2025, laissant aux fabricants un délai de transition pour adapter leurs produits.

Pourquoi ce règlement ?

Avec la généralisation des objets connectés, les risques liés à la cybersécurité explosent: piratage, détournement de données, attaques réseau… Jusqu’à présent, la directive RED ne couvrait pas explicitement ces aspects. Le règlement délégué 2022/30 vient combler ce vide, en imposant une sécurité « dès la conception » pour les appareils concernés.

Quels produits sont concernés ?

Le règlement s’applique à trois grandes catégories d’équipements radio :

1. Appareils pouvant communiquer via Internet (Wi-Fi, LTE, etc.)

2. Appareils qui traitent des données personnelles ou liées à la vie privée

3. Appareils permettant la communication entre enfants et tiers (ex. : montres connectées pour enfants)

   
   

Concrètement, cela inclut la majorité des objets connectés : capteurs IoT, montres, balances Wi-Fi, caméras, assistants vocaux, équipements médicaux sans fil, etc.

Quelles sont les nouvelles exigences ?

Les fabricants devront démontrer que leurs produits intègrent des mesures de cybersécurité pour :

• Empêcher tout accès non autorisé aux données personnelles ou à l’appareil

• Protéger contre les transmissions malveillantes susceptibles de perturber le fonctionnement du réseau ou d'autres équipements

• Gérer les risques de cybersécurité par une analyse de risque documentée

• Assurer la mise à jour du logiciel ou firmware de manière sécurisée (si l’appareil est prévu pour être mis à jour)

Ces exigences devront être prises en compte dans le dossier technique et démontrées dans le cadre de l’évaluation de conformité RED.

Un changement de paradigme pour les fabricants

Ce règlement marque un changement profond dans la manière de concevoir les équipements radio. La cybersécurité devient une exigence réglementaire, au même titre que la sécurité électrique ou la compatibilité électromagnétique, elle est maintenant obligatoire pour le marquage CE.

Pour répondre à ces exigences, la Commission a mandaté la rédaction d’une norme technique : la EN 18031-1, qui servira de référence pour prouver la conformité aux nouvelles obligations.

Quelles étapes pour se mettre en conformité avec le règlement (UE) 2022/30 ?

À partir du 1er août 2025, les fabricants devront prouver que leurs équipements radio intègrent des mesures de cybersécurité conformes aux exigences du règlement délégué (UE) 2022/30. Voici les principales étapes pour anticiper cette mise en conformité :

1. Identifier les produits concernés

Commencez par analyser votre catalogue. Sont concernés :

• Les produits qui se connectent à Internet (Wi-Fi, LTE, LoRa…)

• Les produits qui traitent des données personnelles

• Les produits qui permettent la communication entre enfants et tiers

  
  

Si votre appareil entre dans une de ces catégories, il devra intégrer des mesures de cybersécurité obligatoires.

2. Réaliser une analyse de risque cybersécurité

Une analyse structurée des menaces et vulnérabilités est indispensable. Elle permet d’identifier les risques potentiels (accès non autorisé, injection de code, interception de données, etc.) et de justifier les mesures techniques mises en place.

Des méthodes comme EBIOS, ISO/IEC 27005, ou les lignes directrices de la norme EN 18031-1 peuvent être utilisées.

3. Intégrer la cybersécurité dans le design

Les mesures de sécurité doivent être intégrées dès la phase de conception :

• Authentification, chiffrement, mises à jour sécurisées

• Limitation des accès et des ports ouverts

• Résilience aux attaques par déni de service (DoS)

Ce principe est souvent désigné sous le terme "Security by Design".

4. Tester la sécurité de votre produit

Des tests techniques doivent valider la robustesse des dispositifs mis en place :

• Tests de pénétration (pentests)

• Tests de mise à jour sécurisée

• Simulations d’attaques simples (ex. : brute force, connexion non autorisée)

Ces tests peuvent être réalisés en interne ou via un laboratoire spécialisé.

5. Documenter la conformité

Vous devrez inclure dans votre dossier technique RED :

• Le rapport d’analyse de risque

• La description des mesures de sécurité

• Les résultats des tests réalisés

• Les procédures de mise à jour

• Rapport de test avec la norme EN 18031-1

6. Mettre à jour la déclaration de conformité

La déclaration UE de conformité doit faire référence au règlement 2022/30 et inclure les nouvelles exigences de cybersécurité comme éléments démontrés.

7. Apposer le marquage CE

Une fois toutes les étapes complétées, vous pouvez marquer votre produit CE en respectant l’ensemble des exigences de la directive RED, y compris celles introduites par le règlement 2022/30.

Comment Säfeli peut vous aider ?

Chez Säfeli, nous accompagnons les fabricants d'équipements connectés dans toutes les étapes de la conformité réglementaire, avec une expertise spécifique sur les aspects cybersécurité imposés par le règlement délégué (UE) 2022/30 et la directive RED.

Un expert en cybersécurité pour les appareils connectés

Notre équipe vous aide à :

• Identifier les menaces propres à votre produit (analyse de risque cyber)

• Intégrer les exigences de sécurité dès la conception (security by design)

• Préparer votre documentation technique selon la norme EN 18031-1

• Rédiger ou mettre à jour votre déclaration de conformité CE

Nous intervenons aussi bien sur des produits simples (capteurs, balances Wi-Fi) que sur des systèmes complexes (objets médicaux connectés, équipements industriels IoT).

Un laboratoire de test cybersécurité à votre disposition

Nous collaborons avec des laboratoires partenaires spécialisés dans les tests cybersécurité, capables de :

• Réaliser des tests de pénétration (pentests) ciblés

• Vérifier la sécurité des mises à jour logicielles

• Tester la résistance aux attaques (ex. : DoS, accès non autorisé)

• Valider la conformité avec la norme EN 18031-1

Ces tests peuvent être réalisés en phase de développement ou sur produit final, en toute confidentialité.

Une approche personnalisée et pragmatique

Contrairement aux grandes structures, Säfeli vous propose :

• Des solutions adaptées à votre produit et à votre budget

• Une réactivité et une proximité terrain

• Un accompagnement clair, sans jargon, avec un seul objectif : vous rendre conforme, rapidement et sereinement.

  
  

Vous cherchez un consultant cybersécurité RED ? Un expert en analyse de risque cyber ? Un laboratoire de test pour vos objets connectés ?

Contactez Säfeli dès maintenant pour discuter de votre projet: info@safeli.ch

FAQ

1. Le règlement délégué (UE) 2022/30 est-il obligatoire pour le marquage CE ?

Oui. À partir du 1er août 2025, les exigences de cybersécurité introduites par le règlement (UE) 2022/30 seront obligatoires pour obtenir le marquage CE des équipements radio concernés. Cela signifie que vous ne pourrez plus commercialiser vos produits dans l’UE sans démontrer leur conformité à ces exigences.

2. Quels types de produits doivent intégrer des mesures de cybersécurité ?

Tous les équipements radio qui :

• se connectent à Internet (Wi-Fi, 4G, LoRa, etc.),

• traitent des données personnelles,

• permettent à des enfants de communiquer avec des tierssont concernés par cette obligation. Cela inclut la majorité des objets connectés (IoT).

3. Qu’est-ce que la norme EN 18031-1 ?

La norme EN 18031-1 fournit un cadre technique pour prouver la conformité aux exigences de cybersécurité du règlement 2022/30. Elle décrit des mesures telles que l’authentification, la mise à jour sécurisée, la gestion des vulnérabilités et la résilience aux attaques. Elle est recommandée pour structurer votre démarche et faciliter l’évaluation de conformité.

4. Qui est responsable de la conformité aux exigences cybersécurité ?

C’est le fabricant qui est responsable de démontrer la conformité de son produit. Il doit réaliser une analyse de risque cybersécurité, documenter les mesures prises, effectuer les tests nécessaires et mettre à jour la déclaration de conformité CE.

5. Des tests en laboratoire sont-ils nécessaires ?

Des tests cybersécurité (par exemple des tests de pénétration ou de mise à jour sécurisée) sont fortement recommandés pour prouver la conformité. Ils peuvent être réalisés en interne si vous avez les compétences, ou via un laboratoire de test cybersécurité spécialisé.

6. Est-ce que Säfeli peut m’accompagner dans cette démarche ?

Oui, Säfeli propose un accompagnement complet : analyse de risque, revue de conception, rédaction des documents, coordination des tests en laboratoire, et support jusqu’au marquage CE. Contactez-nous pour une évaluation personnalisée de votre produit.