RED 3.3 cybersécurité : obligatoire depuis le 1er août 2025
Actualité · Évolution réglementaire
Le 1er août 2025, le règlement délégué (UE) 2022/30 est entré en application : tout produit radio connecté placé sur le marché européen doit désormais démontrer sa conformité aux exigences cybersécurité 3.3(d), 3.3(e) et 3.3(f) de la directive RED 2014/53/UE. Cette activation, initialement prévue pour août 2024 puis reportée d'un an pour laisser le temps aux normes harmonisées d'être publiées, concerne la quasi-totalité des objets connectés vendus dans l'UE.
Ce qui change concrètement
Section intitulée « Ce qui change concrètement »Avant le 1er août 2025, l'article 3.3 de la directive RED existait sur le papier mais n'était pas activé : les fabricants n'avaient pas l'obligation de démontrer la cybersécurité de leurs produits radio. Le règlement délégué (UE) 2022/30, adopté en octobre 2021, a déclenché trois alinéas spécifiques :
- Article 3.3(d), protection des réseaux contre les attaques originaires de l'équipement.
- Article 3.3(e), protection des données personnelles et de la vie privée de l'utilisateur et de l'abonné.
- Article 3.3(f), protection contre la fraude.
L'activation devait initialement intervenir le 1er août 2024. La décision d'exécution (UE) 2022/2191 a accordé une prolongation d'un an, le temps que les normes harmonisées EN 18031-1, -2 et -3 soient finalisées et citées au Journal officiel de l'Union européenne. Ces normes ont été publiées en 2024 et offrent depuis la présomption de conformité aux fabricants qui les appliquent.
Quels produits sont concernés ?
Section intitulée « Quels produits sont concernés ? »La portée est très large : tout équipement radio capable de communiquer via internet, directement ou indirectement, est dans le périmètre. En pratique :
- Objets connectés Wi-Fi, Bluetooth, Zigbee, Thread, LoRa, NB-IoT, LTE-M.
- Caméras IP, sonnettes vidéo, serrures connectées.
- Capteurs industriels, gateways IoT, équipements smart home.
- Wearables (montres, trackers de fitness), équipements médicaux connectés non couverts par d'autres directives.
- Jouets connectés (3.3(e) renforcé).
Quelques exclusions précises : les équipements déjà soumis à des règlements sectoriels plus contraignants (véhicules, dispositifs médicaux MDR, équipements aéronautiques) sont couverts par leurs propres cadres.
Les trois sous-articles en pratique
Section intitulée « Les trois sous-articles en pratique »3.3(d): Protection du réseau
Section intitulée « 3.3(d): Protection du réseau »Cette exigence vise à empêcher qu'un équipement radio compromis ne devienne un point d'entrée vers le réseau auquel il est connecté. Les contrôles attendus :
- Authentification mutuelle de l'équipement auprès du réseau (certificats, clés pré-partagées robustes).
- Désactivation par défaut des services non indispensables.
- Limitation des connexions sortantes non sollicitées vers internet.
- Mises à jour de sécurité signées et vérifiables, avec mécanisme de rollback contrôlé.
- Journalisation des événements de sécurité significatifs.
La norme EN 18031-1 détaille la méthodologie d'évaluation.
3.3(e): Protection des données personnelles
Section intitulée « 3.3(e): Protection des données personnelles »Cette exigence se superpose en partie au RGPD mais agit au niveau du produit, pas seulement du traitement. Contrôles évalués :
- Chiffrement des communications sensibles: TLS 1.2 minimum, perfect forward secrecy recommandé.
- Stockage chiffré des secrets (clés, mots de passe, tokens d'authentification).
- Mots de passe forts par défaut, la pratique du mot de passe usine identique sur tous les exemplaires est désormais interdite.
- Effacement sécurisé lors de la réinitialisation usine ou de la fin de vie.
- Documentation transparente des données collectées (type, finalité, durée).
Référence normative : EN 18031-2.
3.3(f): Protection contre la fraude
Section intitulée « 3.3(f): Protection contre la fraude »Plus ciblée, cette exigence concerne les équipements qui réalisent ou facilitent des transactions financières, terminaux de paiement, équipements bancaires, objets connectés capables d'achats in-app. Contrôles évalués :
- Authentification forte (multifacteur) pour les opérations financières.
- Intégrité et non-répudiation des transactions.
- Protection contre les rejeux (nonces, horodatages signés).
- Audit trail des opérations financières.
Référence normative : EN 18031-3.
Trois niveaux d'assurance
Section intitulée « Trois niveaux d'assurance »Les normes EN 18031 introduisent une logique d'évaluation par niveaux, inspirée des Common Criteria mais simplifiée :
| Niveau | Qui évalue | Quand l'appliquer |
|---|---|---|
| Basic | Auto-évaluation du fabricant | Produits IoT grand public à risque faible |
| Substantial | Tiers indépendant accrédité | Produits traitant des données sensibles ou en environnement industriel |
| High | Tiers + tests de pénétration | Produits critiques, infrastructures, paiement |
Le choix du niveau dépend de l'analyse de risque conduite par le fabricant et documentée dans le dossier technique. Pour la grande majorité des produits IoT grand public, le niveau basic est considéré suffisant, mais il exige tout de même une analyse formelle, pas un simple cocher-de-case.
Impact pratique pour les fabricants
Section intitulée « Impact pratique pour les fabricants »Concrètement, voici ce qu'il faut ajouter au dossier technique annexe V de la directive RED :
- Analyse de risque cybersécurité documentée, identifiant les actifs à protéger, les menaces et les contrôles retenus.
- Diagramme d'architecture de sécurité, composants, flux de données, frontières de confiance.
- Inventaire des contrôles implémentés et leur correspondance aux articles 3.3(d)(e)(f) applicables.
- Rapport d'évaluation EN 18031-1/-2/-3 au niveau d'assurance retenu.
- Plan de maintenance, politique de mises à jour, durée de support, gestion des vulnérabilités découvertes après mise sur le marché.
- Documentation utilisateur précisant les bonnes pratiques de sécurité (changement du mot de passe par défaut, activation des mises à jour, etc.).
Fourchettes de coût observées
Section intitulée « Fourchettes de coût observées »| Niveau d'assurance | Coût indicatif | Délai |
|---|---|---|
| Basic (interne ou assistance externe) | 0 € à 8 000 € | 4 à 8 semaines |
| Substantial (laboratoire tiers) | 15 000 € à 40 000 € | 8 à 16 semaines |
| High (avec pentest) | 40 000 € à 100 000 €+ | 16 à 24 semaines |
Ces fourchettes s'ajoutent au coût habituel d'une campagne RED (CEM radio, spectre, sécurité électrique).
Régime transitoire
Section intitulée « Régime transitoire »La règle est claire : les produits placés sur le marché avant le 1er août 2025 sous l'ancien régime RED restent valides et peuvent continuer à être distribués sans renouveler leur certification. Mais à partir du 1er août 2025, toute première mise sur le marché d'un exemplaire, y compris d'un produit identique en conception à un modèle plus ancien, doit être couverte par une déclaration de conformité incluant l'article 3.3.
Attention au piège : une modification substantielle (changement de firmware, ajout d'une fonction radio, changement de composant radio) déclenche une nouvelle mise sur le marché. La conformité 3.3 devient alors obligatoire même pour un produit dont la première version pré-existait.
Capacité de laboratoire limitée
Section intitulée « Capacité de laboratoire limitée »C'est la difficulté pratique majeure en 2025-2026 : peu de laboratoires disposent d'une portée d'accréditation EN 18031 cohérente. Moins de dix entités en Europe ont publié des portées d'accréditation couvrant l'ensemble EN 18031-1/-2/-3 au moment de l'activation. CETECOM, Element, INTERTEK et SGS se sont positionnés tôt ; d'autres rattrapent. Les conséquences :
- Files d'attente longues: 8 à 16 semaines de délai d'entrée en évaluation pour les niveaux substantial.
- Tarifs sous tension en raison de la demande.
- Approche pragmatique : prévoir l'évaluation très en amont de la date de lancement, idéalement dès le gel du firmware.
À retenir pour les équipes produit
Section intitulée « À retenir pour les équipes produit »- L'article 3.3 est activé et opposable depuis le 1er août 2025, il ne s'agit plus d'une option ni d'une perspective.
- Le niveau d'assurance basic est suffisant pour la plupart des produits IoT, mais il exige une analyse formelle documentée.
- Les normes EN 18031-1, EN 18031-2 et EN 18031-3 donnent la présomption de conformité, toute autre approche reste possible mais alourdit considérablement la charge de preuve.
- Réserver tôt un créneau laboratoire : la capacité reste limitée pour 12 à 24 mois.
- Pour les produits déjà certifiés, anticiper la prochaine évolution (firmware, composant radio) qui rouvrira la conformité.
Pour aller plus loin
Section intitulée « Pour aller plus loin »- Tests RED requis: détail des essais par article 3.1 à 3.3
- Normes harmonisées RED: tableau complet
- Pièges courants RED: erreurs récurrentes en radio et cybersécurité
Sources & références
- Règlement délégué (UE) 2022/30 , EUR-Lex eur-lex.europa.eu/eli/reg_del/2022/30/oj
- Directive 2014/53/UE, article 3.3 , EUR-Lex eur-lex.europa.eu/eli/dir/2014/53/oj
- Décision d'exécution (UE) 2022/2191, report d'un an , EUR-Lex eur-lex.europa.eu/eli/dec_impl/2022/2191/oj
- EN 18031 series: Cybersecurity for radio equipment , CENELEC www.cenelec.eu/