Cybersécurité

De nouvelles normes pour la cybersécurité des machines

Les nouvelles réglementations européennes telles que la directive relative aux équipements hertziens (RED), le règlement européen sur les machines (MR) et la loi sur la cyber-résilience (CRA) introduisent des exigences de cybersécurité qui affectent les équipements hertziens, les machines et les produits numériques. Pour les constructeurs qui utilisent des systèmes de commande à distance sans fil, la compréhension au préalable du paysage réglementaire permet de garantir une trajectoire prévisible jusqu'au marquage CE en 2027 et au-delà.

Qu'est-ce que cela signifie pour les machines mobiles ?

De nouvelles législations européennes introduisent des exigences en matière de cybersécurité qui concernent les équipements radio, les machines et les produits numériques.

Certaines exigences s'appliquent directement à la machine mise sur le marché de l'UE, tandis que d'autres s'appliquent aux composants intégrés dans la machine, tels que les systèmes de radiocommande.

Pour les constructeurs qui utilisent des systèmes sans fil ou de commande à distance, ces évolutions influenceront la manière dont les machines seront conçues, documentées et marquées CE dans les années à venir.

Le paysage réglementaire continue d'évoluer, mais le fait d'en comprendre l'orientation dès le départ permet de s'assurer que la voie à suivre est prévisible. Chez Scanreco, nous suivons ces développements de près et travaillons en permanence pour soutenir nos partenaires OEM.

À venir

Le paysage réglementaire vers le marquage CE en 2027

Plusieurs textes législatifs de l'UE introduisent des attentes en matière de cybersécurité pour les machines mises sur le marché européen. Elles concernent différentes parties du système - la machine elle-même, les équipements radio et les produits numériques - mais, ensemble, elles définissent le futur cadre de conformité.

 

RED_SCANRECO_400x200_2

Directive relative aux équipements hertziens (RED)

Qu'est-ce que c'est ?
La directive européenne sur les équipements radioélectriques (RED) 2014/53/EU réglemente les équipements qui communiquent par le biais de signaux radio à des fréquences désignées.

En vigueur
Les exigences en matière de cybersécurité prévues à l'article 3, paragraphe 3, s'appliquent à partir d'août 2025.

Ce qu'elle couvre
Les équipements radio, y compris les systèmes de commande à distance sans fil.

Ce que cela signifie pour les fabricants d'équipements
Les équipements de commande à distance intégrés dans les machines doivent être conformes à la RED et accompagnés de la documentation nécessaire.

MR_SCANRECO_400x200_

Règlement sur les machines (RM)

De quoi s'agit-il ?
Le règlement européen sur les machines (UE) 2023/1230 remplace l'actuelle directive sur les machines.

En vigueur
S'applique à partir de janvier 2027 dans tous les États membres de l'UE.

Ce qu'il couvre
La machine complète mise sur le marché de l'UE.

Ce que cela signifie pour les constructeurs
Les constructeurs doivent continuer à effectuer une évaluation des risques et un processus de marquage CE, en veillant à ce que les risques liés à la sécurité et à la cybersécurité - y compris ceux liés aux logiciels et aux technologies numériques - soient correctement pris en compte.

CRA_SCANRECO_400x200

Loi sur la cyber-résilience (CRA)

De quoi s'agit-il ?
La loi européenne sur la cyber-résilience (CRA) introduit des exigences en matière de cybersécurité pour les produits comportant des éléments numériques, y compris l'électronique et les logiciels.

En vigueur
Le règlement s'appliquera à partir de décembre 2027, avec des obligations spécifiques introduites progressivement en septembre 2026.

Ce qu'il couvre
Les produits comportant des éléments numériques mis sur le marché de l'UE, y compris les composants électroniques et les logiciels utilisés dans les machines et les systèmes de contrôle.

Ce que cela signifie pour les constructeurs 
Les fabricants doivent démontrer que les produits dotés de fonctionnalités numériques sont développés et entretenus en toute sécurité tout au long de leur cycle de vie, y compris les processus de gestion des vulnérabilités et de mise à jour des logiciels.

Ce à quoi les constructeurs doivent penser dès maintenant

Le paysage réglementaire est en évolution et en attente d'harmonisation, mais quelques thèmes sont déjà clairs. Étant donné que ces réglementations s'appliquent aux machines mises sur le marché de l'UE après les dates limites correspondantes, il convient de revoir la conception des machines, qu'elles soient nouvelles ou existantes.

 

Icône de sécurité

Les décisions en matière d'architecture sont prises à un stade précoce

La cybersécurité est difficile à mettre en place à un stade avancé du développement. Les communications sans fil, les mécanismes d'authentification et l'intégrité des logiciels doivent être pris en compte dès le début de l'architecture de commande de la machine.
Icône de sécurité-1

Documentation et traçabilité

À l'avenir, le marquage CE reposera de plus en plus sur une documentation structurée telle que

- les évaluations des risques en matière de cybersécurité
- les décisions de conception
- les processus de gestion du cycle de vie

Une documentation claire deviendra aussi importante que la solution technique elle-même.

Icône de sécurité-1

Responsabilité du cycle de vie

Les attentes en matière de cybersécurité vont au-delà du lancement initial du produit. Les fabricants peuvent avoir besoin de processus structurés pour :

- la gestion des vulnérabilités
- les mises à jour de sécurité
- la maintenance à long terme
Icône de sécurité-1

Collaboration tout au long de la chaîne d'approvisionnement

Les constructeurs dépendent des fournisseurs pour les composants critiques de leurs systèmes. Des responsabilités claires et la transparence entre les constructeurs et les fournisseurs de technologie seront essentielles pour soutenir la conformité et la documentation.
Autocontrôle de l'image de cybersécurité2 (1)

Auto-évaluation

La plate-forme de votre machine est-elle exposée ?

Commencez ici :

  • Vous vendez des machines sur le marché européen ?

  • Vos machines utilisent-elles des communications sans fil, des systèmes de commande à distance ou d'autres produits numériques ?

  • Allez-vous commercialiser des machines sur le marché européen après 2025-2027 ?

 

Si c'est le cas, il peut être utile d'y réfléchir :

  • Les exigences en matière de cybersécurité ont-elles été prises en compte dans l'architecture de votre système ?

  • Les responsabilités entre le constructeur et les fournisseurs sont-elles clairement définies ?

  • Disposez-vous d'un processus documenté pour gérer les mises à jour et les vulnérabilités des logiciels ?

Si plusieurs de ces questions restent en suspens, il peut être utile d'examiner comment les réglementations à venir pourraient affecter votre gamme. 

Recevez des mises à jour sur la cybersécurité

Recevez des mises à jour pertinentes directement dans votre boîte aux lettres électronique, ainsi que des invitations à des webinaires au cours desquels des experts partagent leurs connaissances et répondent à des questions relatives à la cybersécurité.

S'inscrire ici

product integrity model_FR

La perspective Scanreco

La clé du succès - une perspective holistique

Chez Scanreco, l'essentiel de notre travail consiste à assurer la meilleure intégrité possible des produits - des solutions de contrôle conçues pour résister aux exigences d'aujourd'hui et aux risques et défis de demain.

Nous abordons l'intégrité des produits à travers trois dimensions interconnectées.

  • L'intégrité de la sécurité garantit que nos systèmes répondent aux exigences de sécurité fonctionnelle, y compris les architectures classées SIL pour les opérations critiques des machines.

  • L'intégrité de la protection tient compte de l'importance croissante de la cybersécurité et de l'évolution des exigences réglementaires pour les systèmes numériques et sans fil.

  • L'intégrité du cycle de vie se concentre sur le maintien de la robustesse du système au fil du temps, y compris les approches structurées des mises à jour, la gestion des vulnérabilités et le soutien à long terme de la gamme. 


Ensemble, ces dimensions constituent le fondement de l'engagement à long terme de Scanreco à fournir des solutions de contrôle fiables et prêtes pour l'avenir aux constructeurs et aux opérateurs de machines.

Questions fréquemment posées

Quelles sont les réglementations européennes en matière de cybersécurité qui concernent les fabricants de machines ?

Plusieurs règlements de l'UE introduisent des attentes en matière de cybersécurité susceptibles d'affecter les fabricants de machines et leurs fournisseurs.

Les cadres les plus pertinents sont les suivants :

  • Directive relative aux équipements hertziens (RED) - exigences en matière de cybersécurité pour certains équipements hertziens à partir d'août 2025.
  • Règlement de l'UE relatif aux machines (MR) - cadre de sécurité des machines mis à jour et applicable à partir de janvier 2027.
  • Cyber Resilience Act (CRA) - exigences en matière de cybersécurité dans le cycle de vie des produits contenant des éléments numériques


Ces réglementations concernent différentes parties du système mais, ensemble, elles façonnent le futur paysage de la conformité pour les machines dans l'UE.

La nouvelle réglementation de l'UE en matière de cybersécurité s'applique-t-elle aux machines ?

Oui, mais de différentes manières.

Certaines réglementations s'appliquent directement à la machine elle-même, tandis que d'autres s'appliquent aux composants intégrés dans la machine, tels que l'équipement radio ou les systèmes de commande numérique.

Les constructeurs restent responsables du marquage CE de la machine complète, tandis que les fournisseurs doivent s'assurer que leurs composants sont conformes aux réglementations applicables.

Les machines doivent-elles être connectées à l'internet pour être affectées ?

Non.

Il n'est pas nécessaire qu'une machine soit connectée à l'internet pour que ces règles soient applicables.

Les constructeurs doivent-ils revoir la conception de leurs machines en raison de ces réglementations ?

Pas nécessairement.

Cependant, les constructeurs peuvent avoir besoin de revoir des aspects tels que :

  • l'architecture du système
  • l'évaluation des risques de cybersécurité
  • la documentation
  • les processus du cycle de vie

L'impact dépend de la conception de la machine et des technologies utilisées.

Qui est responsable de la conformité et du marquage CE ?

Le constructeur reste responsable du marquage CE de la machine mise sur le marché.

Les fournisseurs y contribuent en s'assurant que leurs composants répondent aux exigences applicables et en fournissant la documentation technique nécessaire au processus de conformité du fabricant. 

Comment Scanreco réagit-il à ces évolutions réglementaires ?

Scanreco suit en permanence l'évolution du paysage réglementaire et travaille systématiquement pour s'assurer que ses solutions de contrôle à distance répondent aux exigences requises par les constructeurs de machines pour faciliter la vérification de leur équipement.

Au fur et à mesure que les normes harmonisées deviennent plus clairement définies, nous continuerons à partager nos idées et nos conseils avec nos partenaires OEM.

Quelles sont les exigences en matière de cybersécurité de la directive relative aux équipements hertziens (RED) ?

La directive relative aux équipements hertziens (RED) réglemente les produits qui communiquent par radio.

À partir du 1er août 2025, certaines catégories d'équipements hertziens devront également répondre à des exigences de cybersécurité en vertu de l'article 3, paragraphe 3, points d), e) et f).

Ces exigences visent à garantir que les équipements hertziens

  • protègent les réseaux de communication contre les abus
  • protègent les données personnelles et la vie privée, le cas échéant
  • empêchent la fraude ou l'utilisation non autorisée des services connectés


Pour les fabricants d'équipements radio, cela signifie généralement qu'il faut démontrer que le produit comprend des mesures de protection appropriées contre l'accès non autorisé, la manipulation ou l'utilisation abusive de l'interface radio.

Les systèmes de commande à distance sans fil utilisés dans les machines entrent dans le champ d'application de la RED et doivent être évalués en fonction de ces exigences.

Les systèmes de commande à distance sans fil font-ils partie de la catégorie RED ?

Oui.

Les systèmes de commande à distance sans fil communiquent par le biais de signaux radio et sont donc considérés comme des équipements radio au sens de la directive européenne relative aux équipements hertziens (RED).

Les fabricants d'équipements radio doivent s'assurer que l'architecture et la mise en œuvre de l'équipement sont conformes aux exigences de la RED et fournir des documents à l'appui.

Pour les constructeurs qui intègrent des systèmes de commande sans fil dans des machines, cela signifie que l'équipement radio utilisé dans la machine doit être conforme à la directive sur les équipements hertziens et accompagné de la documentation technique appropriée.

Qu'est-ce qui change avec le règlement européen sur les machines en 2027 ?

Le règlement européen sur les machines (UE) 2023/1230 remplace l'actuelle directive sur les machines et devient applicable à partir de janvier 2027 dans tous les États membres de l'UE.

Son objectif est de moderniser le cadre de sécurité des machines et de traiter les risques associés aux technologies numériques, aux logiciels et aux systèmes de plus en plus connectés.

Par rapport à la directive précédente, le règlement met davantage l'accent sur :

  • les risques liés aux logiciels et aux systèmes de commande numériques
  • les considérations relatives à la cybersécurité lorsqu'elles ont une incidence sur la sécurité des machines
  • des exigences plus claires en matière de documentation et de traçabilité.

Les constructeurs qui mettent des machines sur le marché de l'UE doivent continuer à procéder à une évaluation des risques et au marquage CE, en veillant à ce que les risques pour la sécurité - y compris ceux liés aux logiciels et aux technologies numériques - soient pris en compte.

Qu'est-ce que la loi sur la cyber-résilience ?

La loi sur la cyber-résilience (CRA) introduit des exigences en matière de cybersécurité pour les produits comportant des éléments numériques, y compris l'électronique et les logiciels embarqués.

Son objectif est d'améliorer la cybersécurité globale des produits connectés vendus dans l'UE en introduisant des exigences relatives à :

  • le développement de produits sécurisés
  • la gestion de la vulnérabilité des produits
  • les mécanismes de mise à jour des logiciels des produits
  • la transparence concernant les vulnérabilités connues


Contrairement au règlement sur les machines, qui se concentre sur la sécurité des machines, l'ARC traite de la cybersécurité des produits tout au long de leur cycle de vie.

L'application exacte à des produits industriels spécifiques deviendra plus claire au fur et à mesure de l'élaboration des normes et des conseils de mise en œuvre.

Vous voulez en savoir plus sur la cybersécurité ?

Nous développons continuellement des informations pour vous aider à rester au courant des mises à jour de cybersécurité liées aux machines radiocommandées.