Aller au contenu

RED 3.3 cybersécurité : obligatoire depuis le 1er août 2025

Actualité · Évolution réglementaire

Le 1er août 2025, le règlement délégué (UE) 2022/30 est entré en application : tout produit radio connecté placé sur le marché européen doit désormais démontrer sa conformité aux exigences cybersécurité 3.3(d), 3.3(e) et 3.3(f) de la directive RED 2014/53/UE. Cette activation, initialement prévue pour août 2024 puis reportée d'un an pour laisser le temps aux normes harmonisées d'être publiées, concerne la quasi-totalité des objets connectés vendus dans l'UE.

Avant le 1er août 2025, l'article 3.3 de la directive RED existait sur le papier mais n'était pas activé : les fabricants n'avaient pas l'obligation de démontrer la cybersécurité de leurs produits radio. Le règlement délégué (UE) 2022/30, adopté en octobre 2021, a déclenché trois alinéas spécifiques :

  • Article 3.3(d), protection des réseaux contre les attaques originaires de l'équipement.
  • Article 3.3(e), protection des données personnelles et de la vie privée de l'utilisateur et de l'abonné.
  • Article 3.3(f), protection contre la fraude.

L'activation devait initialement intervenir le 1er août 2024. Le règlement délégué (UE) 2023/2444 a accordé une prolongation d'un an, le temps que les normes harmonisées EN 18031-1, -2 et -3 soient finalisées et citées au Journal officiel de l'Union européenne. Ces normes ont été publiées en 2024, citées au JOUE en janvier 2025, et offrent depuis la présomption de conformité aux fabricants qui les appliquent.

La portée est très large : tout équipement radio capable de communiquer via internet, directement ou indirectement, est dans le périmètre. En pratique :

  • Objets connectés Wi-Fi, Bluetooth, Zigbee, Thread, LoRa, NB-IoT, LTE-M.
  • Caméras IP, sonnettes vidéo, serrures connectées.
  • Capteurs industriels, gateways IoT, équipements smart home.
  • Wearables (montres, trackers de fitness), équipements médicaux connectés non couverts par d'autres directives.
  • Jouets connectés (3.3(e) renforcé).

Quelques exclusions précises : les équipements déjà soumis à des règlements sectoriels plus contraignants (véhicules, dispositifs médicaux MDR, équipements aéronautiques) sont couverts par leurs propres cadres.

Cette exigence vise à empêcher qu'un équipement radio compromis ne devienne un point d'entrée vers le réseau auquel il est connecté. Les contrôles attendus :

  • Authentification mutuelle de l'équipement auprès du réseau (certificats, clés pré-partagées robustes).
  • Désactivation par défaut des services non indispensables.
  • Limitation des connexions sortantes non sollicitées vers internet.
  • Mises à jour de sécurité signées et vérifiables, avec mécanisme de rollback contrôlé.
  • Journalisation des événements de sécurité significatifs.

La norme EN 18031-1 détaille la méthodologie d'évaluation.

Cette exigence se superpose en partie au RGPD mais agit au niveau du produit, pas seulement du traitement. Contrôles évalués :

  • Chiffrement des communications sensibles: TLS 1.2 minimum, perfect forward secrecy recommandé.
  • Stockage chiffré des secrets (clés, mots de passe, tokens d'authentification).
  • Mots de passe forts par défaut, la pratique du mot de passe usine identique sur tous les exemplaires est désormais interdite.
  • Effacement sécurisé lors de la réinitialisation usine ou de la fin de vie.
  • Documentation transparente des données collectées (type, finalité, durée).

Référence normative : EN 18031-2.

Plus ciblée, cette exigence concerne les équipements qui réalisent ou facilitent des transactions financières, terminaux de paiement, équipements bancaires, objets connectés capables d'achats in-app. Contrôles évalués :

  • Authentification forte (multifacteur) pour les opérations financières.
  • Intégrité et non-répudiation des transactions.
  • Protection contre les rejeux (nonces, horodatages signés).
  • Audit trail des opérations financières.

Référence normative : EN 18031-3.

Contrairement à une lecture répandue, les normes EN 18031 ne définissent pas de niveaux d'assurance (les niveaux basic / substantial / high relèvent du cadre de certification du Cybersecurity Act, pas de la RED). Leur logique est différente :

ÉtapeCe qu'elle implique
Analyse de risqueLe fabricant détermine les parties applicables : 3.3(d) correspond à EN 18031-1, 3.3(e) à EN 18031-2, 3.3(f) à EN 18031-3
Arbres de décisionChaque exigence est munie d'arbres de décision qui établissent son applicabilité au produit
Évaluation par mécanismeChaque mécanisme de sécurité applicable subit une évaluation conceptuelle (justification documentée) plus des évaluations de complétude fonctionnelle et de suffisance fonctionnelle

Le résultat de chaque évaluation est conforme ou non conforme, sans niveaux gradués. La voie de conformité découle de la manière dont les normes sont appliquées : si elles sont appliquées intégralement et qu'aucune des restrictions attachées à la citation au JOUE (décision d'exécution (UE) 2025/138) n'est déclenchée, le fabricant peut s'auto-évaluer en contrôle interne de la production (module A). Les restrictions concernent les clauses 6.2.5.1 et 6.2.5.2 (absence de mot de passe) dans les trois parties, le contrôle d'accès parental pour les jouets et équipements de garde d'enfants dans EN 18031-2, et les critères de mise à jour sécurisée des actifs financiers dans EN 18031-3. Si une restriction est déclenchée, ou si les normes ne sont que partiellement appliquées, un organisme notifié RED devient obligatoire (examen UE de type, module B + C).

Concrètement, voici ce qu'il faut ajouter au dossier technique annexe V de la directive RED :

  1. Analyse de risque cybersécurité documentée, identifiant les actifs à protéger, les menaces et les contrôles retenus.
  2. Diagramme d'architecture de sécurité, composants, flux de données, frontières de confiance.
  3. Inventaire des contrôles implémentés et leur correspondance aux articles 3.3(d)(e)(f) applicables.
  4. Rapport d'évaluation EN 18031-1/-2/-3, couvrant l'évaluation conceptuelle et les évaluations de complétude et de suffisance fonctionnelles de chaque mécanisme applicable.
  5. Plan de maintenance, politique de mises à jour, durée de support, gestion des vulnérabilités découvertes après mise sur le marché.
  6. Documentation utilisateur précisant les bonnes pratiques de sécurité (changement du mot de passe par défaut, activation des mises à jour, etc.).
Voie de conformitéCoût indicatifDélai
Auto-évaluation (interne ou assistance externe)0 € à 8 000 €4 à 8 semaines
Campagne en laboratoire tiers accrédité15 000 € à 40 000 €8 à 16 semaines
Voie organisme notifié avec essais de sécurité40 000 € à 100 000 €+16 à 24 semaines

Ces fourchettes s'ajoutent au coût habituel d'une campagne RED (CEM radio, spectre, sécurité électrique).

La règle est claire : les produits placés sur le marché avant le 1er août 2025 sous l'ancien régime RED restent valides et peuvent continuer à être distribués sans renouveler leur certification. Mais à partir du 1er août 2025, toute première mise sur le marché d'un exemplaire, y compris d'un produit identique en conception à un modèle plus ancien, doit être couverte par une déclaration de conformité incluant l'article 3.3.

Attention au piège : une modification substantielle (changement de firmware, ajout d'une fonction radio, changement de composant radio) déclenche une nouvelle mise sur le marché. La conformité 3.3 devient alors obligatoire même pour un produit dont la première version pré-existait.

C'est la difficulté pratique majeure en 2025-2026 : peu de laboratoires disposent d'une portée d'accréditation EN 18031 cohérente. Moins de dix entités en Europe ont publié des portées d'accréditation couvrant l'ensemble EN 18031-1/-2/-3 au moment de l'activation. CETECOM, Element, INTERTEK et SGS se sont positionnés tôt ; d'autres rattrapent. Les conséquences :

  • Files d'attente longues: 8 à 16 semaines de délai d'entrée pour une évaluation par un tiers.
  • Tarifs sous tension en raison de la demande.
  • Approche pragmatique : prévoir l'évaluation très en amont de la date de lancement, idéalement dès le gel du firmware.
  • L'article 3.3 est activé et opposable depuis le 1er août 2025, il ne s'agit plus d'une option ni d'une perspective.
  • L'auto-évaluation (module A) reste ouverte pour la plupart des produits IoT quand les normes EN 18031 sont appliquées intégralement et qu'aucune restriction JOUE n'est déclenchée, mais elle exige une analyse formelle documentée.
  • Les normes EN 18031-1, EN 18031-2 et EN 18031-3 donnent la présomption de conformité, toute autre approche reste possible mais alourdit considérablement la charge de preuve.
  • Réserver tôt un créneau laboratoire : la capacité reste limitée pour 12 à 24 mois.
  • Pour les produits déjà certifiés, anticiper la prochaine évolution (firmware, composant radio) qui rouvrira la conformité.

Sources & références

  1. Règlement délégué (UE) 2022/30 , EUR-Lex eur-lex.europa.eu/eli/reg_del/2022/30/oj
  2. Directive 2014/53/UE, article 3.3 , EUR-Lex eur-lex.europa.eu/eli/dir/2014/53/oj
  3. Règlement délégué (UE) 2023/2444, report d'un an , EUR-Lex eur-lex.europa.eu/eli/reg_del/2023/2444/oj
  4. EN 18031 series: Cybersecurity for radio equipment , CENELEC www.cenelec.eu/