La cybersécurité n’a jamais été aussi stratégique pour les industriels. Entre la multiplication des cyberattaques et l’explosion des objets connectés, la question n’est plus si une attaque va survenir, mais quand.
C’est dans ce contexte qu’intervient le Cybersecurity Act (UE 2019/881), adopté le 7 juin 2019. Ce règlement européen vise à renforcer la confiance dans les produits et services numériques en instaurant un cadre commun de certification en cybersécurité. Concrètement, il donne à l’ENISA (l’Agence européenne pour la cybersécurité) un rôle central et met en place des schémas de certification qui permettent de garantir aux utilisateurs que les solutions qu’ils adoptent répondent à des niveaux de sécurité reconnus.
Chez Factory Software, nous sommes convaincus que cette démarche est essentielle. Nos clients nous font confiance pour leur fournir des solutions industrielles à la pointe, conçues pour être cyber-résilientes, assurer la continuité de leur activité et soutenir leur croissance durable. Avec les logiciels AVEVA que nous distribuons, nous assumons une position claire : la conformité aux réglementations internationales est une conséquence naturelle de notre engagement en cybersécurité. Chaque nation a le droit, et le devoir, de protéger ses infrastructures critiques et ses citoyens contre les cyberattaques. C’est pourquoi nous accueillons ces réglementations avec transparence et nous alignons pleinement sur leurs exigences.
Qu’est-ce que le Cybersecurity Act ?
Adopté en juin 2019, le Cybersecurity Act (UE 2019/881) est un règlement européen qui vise à renforcer la confiance numérique en Europe. Il confère à l’ENISA (l’Agence européenne de cybersécurité) un rôle permanent et plus puissant, et met en place des schémas européens de certification en cybersécurité pour les produits, services et processus TIC. L’objectif est simple : garantir que les solutions numériques utilisées en Europe répondent à des standards de sécurité reconnus et harmonisés.
Pour le secteur industriel, ce règlement est particulièrement stratégique. Les usines et infrastructures critiques s’appuient désormais sur des logiciels, des réseaux et des équipements connectés, ce qui les rend vulnérables aux cyberattaques. En créant un cadre commun, le Cybersecurity Act permet d’élever le niveau de sécurité tout au long de la chaîne de valeur : des fabricants aux intégrateurs, jusqu’aux utilisateurs finaux.
Et cette approche fait écho à notre vision. Nos logiciels industriels, qu’il s’agisse de supervision, de MES ou de gestion des données, sont développés pour répondre aux exigences les plus strictes en matière de cybersécurité. Cela signifie que nos clients peuvent déployer leurs solutions digitales avec confiance, tout en étant alignés avec les réglementations européennes.
Cyber Resilience Act : un nouveau cadre réglementaire européen désormais incontournable
La cybersécurité est aujourd’hui l’un des défis majeurs de l’Union européenne face à la multiplication des objets connectés et à l’impact grandissant des cyberattaques sur le marché intérieur et les infrastructures critiques. Pour y répondre, l’UE a adopté une approche ambitieuse : créer un cadre juridique uniforme qui fixe des exigences essentielles de cybersécurité pour les produits intégrant des éléments numériques.
Ce champ inclut aussi bien les équipements matériels que les logiciels reliés directement ou indirectement à un autre appareil ou à un réseau. Le Cyber Resilience Act (CRA) impose ainsi des obligations précises aux fabricants et aux distributeurs, couvrant l’ensemble du cycle de vie des produits numériques. Bien que d’application européenne, cette réglementation aura un impact mondial, car l’industrie logicielle et matérielle évolue dans un écosystème globalisé.
Les deux principaux enjeux identifiés du Cyber Resilience Act
Le CRA s’attaque à deux faiblesses critiques :
- Le faible niveau de cybersécurité des produits numériques.
- Le manque d’informations disponibles pour les utilisateurs afin de faire des choix éclairés.
Les principes clés du Cyber Resilience Act
Pour renforcer la confiance et la sécurité, la réglementation introduit plusieurs obligations structurantes :
- Sécurité dès la conception : les fabricants doivent intégrer la cybersécurité dès le développement, en livrant des produits configurés de manière sécurisée par défaut.
- Responsabilité continue : les fabricants demeurent garants de la sécurité du produit tout au long de son cycle de vie.
- Évaluation de conformité : les éditeurs de logiciels devront réaliser une auto-évaluation ou recourir à un tiers pour démontrer leur conformité.
- Transparence pour les utilisateurs : les fabricants doivent communiquer clairement les caractéristiques de sécurité et les bonnes pratiques d’utilisation aux clients finaux.
- Marquage CE : les produits conformes pourront arborer le marquage CE, gage de respect du CRA et de fiabilité pour le marché européen.
Un calendrier déjà fixé
L’application du Cyber Resilience Act interviendra progressivement :
- 11 septembre 2026 : entrée en vigueur des obligations de reporting.
- 11 décembre 2027 : application complète de la réglementation pour tous les produits concernés.
La démarche proactive d’AVEVA face au Cyber Resilience Act
Fort de plus de 50 ans d’expérience dans le développement et le support de logiciels industriels, AVEVA reconnaît l’importance d’une cybersécurité exigeante et de standards opérationnels élevés. Son expertise en matière de Security Development Lifecycle la positionne idéalement pour avancer vers la mise à disposition de produits conformes au marquage CE.
Bien que la réglementation soit encore en évolution et que sa mise en application complète soit prévue dans deux ans, AVEVA a déjà lancé des évaluations internes afin d’anticiper ses implications sur l’ensemble de son portefeuille logiciel.
À la date d’applicabilité, le CRA concernera principalement les offres on-premise et hybrides, mais la stratégie de conformité repose déjà sur quatre piliers :
- Culture de la sécurité : sensibiliser les équipes internes et partenaires mondiaux aux impacts de cette réglementation sur les pratiques et la chaîne de valeur.
- Politique de cycle de vie : la mise à jour 2024 de la politique produit intègre les exigences du CRA afin d’offrir aux clients transparence et flexibilité dans les modèles de support.
- Security Development Lifecycle : intégrer les exigences essentielles à chaque étape du développement, de la formation des équipes jusqu’à la gestion des mises à jour et réponses aux incidents.
- Attestation de conformité : fournir une documentation complète, un centre de confiance en ligne, une gouvernance contractuelle et commerciale, ainsi que le marquage CE pour les produits conformes.
Quel impact pour les industriels ?
Pour les fabricants de machines, le Cyber Resilience Act représente une évolution majeure : intégrer la cybersécurité dès la conception des équipements devient un impératif, au même titre que la sécurité physique ou la conformité réglementaire.
Pour les éditeurs de logiciels industriels, tels qu’AVEVA, l’enjeu est d’accompagner les clients dans la mise en place de solutions robustes, capables de protéger à la fois les données de production et la continuité des opérations.
En tant que distributeur officiel des logiciels AVEVA, Factory Software joue un rôle clé : informer, accompagner et conseiller les industriels afin qu’ils puissent anticiper l’impact du CRA, mettre en conformité leurs environnements numériques et sécuriser leurs investissements sur le long terme.
Enfin, pour les responsables IT/OT, le CRA offre un cadre plus clair et une garantie supplémentaire : les produits marqués CE offriront une sécurité éprouvée, facilitant leur intégration dans les environnements critiques.
En résumé, cette réglementation va non seulement renforcer la confiance des utilisateurs, mais aussi accélérer la maturité cyber des chaînes de valeur industrielles.
Le Cyber Resilience Act n’est pas une simple contrainte réglementaire : il s’agit d’une opportunité stratégique pour renforcer la cybersécurité au cœur des systèmes industriels. En anticipant dès aujourd’hui ses implications, AVEVA et Factory Software permettent aux industriels d’aborder cette transition en toute sérénité et de se préparer à un futur numérique plus sûr, plus fiable et plus résilient.
