Ce qui fait désormais partie du quotidien avec les serrures intelligentes, les babyphones Wi-Fi ou les aspirateurs robots s'applique de plus en plus également à la protection solaire : dès qu'un produit émet des signaux radio ou peut être commandé via une application, il s'agit d'un produit connecté. Au cours des dernières années, des chercheurs en sécurité ont démontré à plusieurs reprises que les systèmes radio des portes de garage, des clés de voiture et des composants domotiques peuvent être piratés s’ils ne sont pas cryptés selon les normes techniques les plus récentes.
Les risques sont aussi bien réels dans le domaine de la technique de construction également : Quiconque analyse les habitudes de présence à partir des mouvements des volets roulants ou pilote des systèmes d'ombrage à contretemps peut causer de lourds dommages, allant de l'espionnage discret aux dommages matériels, jusqu'à la préparation de cambriolages. La loi européenne sur la cyberrésilience (EU Cyber Resilience Act) constitue la réponse réglementaire à cette évolution, à l'instar de ce que le RGPD a apporté en 2018 en matière de protection des données : une norme européenne uniforme qui protège les consommateurs, mais surtout les infrastructures critiques.
Le règlement de l'UE sur la cyberrésilience (2024/2847) concerne notamment les systèmes radio, les applications et l'ensemble des solutions de contrôle numériques. Ainsi, dans le secteur des produits solaires, la cybersécurité devient également une condition préalable à l'homologation et à la commercialisation des produits. À l'avenir, les produits non conformes perdront leur marquage CE et ne pourront plus être commercialisés dans les 30 pays du marché unique européen. Le règlement prévoit en outre des sanctions lourdes, notamment un risque de responsabilité civile et de rappel de produits, ainsi que des amendes pouvant atteindre 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial. Pour les fabricants et les distributeurs, le CRA représente un changement de paradigme fondamental : ils ne peuvent planifier en toute sécurité que si les systèmes qu'ils achètent et vendent aujourd'hui restent conformes à la norme CE à l'avenir. En tant que leader européen des systèmes de protection solaire, la lumière et les intempéries, HELLA est aujourd'hui l'un des premiers fabricants à satisfaire à toutes les exigences de la loi européenne sur la cyberrésilience grâce à son système de commande sans fil intelligent ONYX. « Avec le règlement sur la cyberrésilience, la sécurité des données, que nous définissons depuis des années comme référence pour le développement de nos propres systèmes de commande, devient la norme européenne », déclare Andreas Kraler, associé-gérant du groupe HELLA. « La sécurité ne doit pas être une fonctionnalité secondaire dans les systèmes de protection solaire connectés. Elle doit être profondément intégrée au système. »
Le nouveau règlement oblige les fabricants à prendre en compte la cybersécurité de leurs produits et solutions dès le début du processus de conception : La sécurité doit faire partie intégrante de l'architecture du système (« Security by Design »), tous les paramètres par défaut définis en usine doivent être conçus dans cette optique (« Security by Default »), et tous les produits comportant des éléments numériques doivent pouvoir être mis à jour tout au long de leur cycle de vie. Les solutions de protection solaire équipées de commandes sont désormais considérées, d'un point de vue réglementaire, comme des produits numériques. À l'avenir, ce n'est pas seulement la qualité mécanique qui sera déterminante, mais aussi la résistance aux cyberattaques.
HELLA s'appuie depuis 2008 sur la « Security by Architecture » (sécurité par l'architecture) pour sa solution ONYX : la cybersécurité fait partie intégrante de l'architecture du système dès le départ et n'est pas un module ajouté ultérieurement. Elle est prise en compte dès la phase de développement et de conception technique du système. L'un des principaux atouts d'ONYX réside dans le fait qu'il s'agit d'un produit développé en interne. HELLA fabrique son matériel et ses logiciels, qui font l'objet d'améliorations constantes. Cela permet de mettre en œuvre de manière indépendante les exigences de sécurité, les mises à jour et les adaptations réglementaires, tout en les garantissant tout au long du cycle de vie du produit. La solution chiffre la communication selon l'état de l'art et protège contre les attaques par rejeu, lors desquelles des signaux radio enregistrés sont réémis pour simuler une action autorisée.
De plus, HELLA maintient pour ONYX une « Software Bill of Materials » (SBOM), une documentation complète et transparente de tous les composants logiciels et dépendances utilisés, telle que l'exigera le CRA à l'avenir.
Cette démarche est complétée par un mécanisme de mise à jour clairement défini et documenté sur l'ensemble du cycle de vie du produit. La gestion intégrée des vulnérabilités, un processus d'identification, de documentation et de correction des failles de sécurité, constitue un autre pilier indispensable pour une transparence professionnelle et sans faille. Pour les clients finaux, le CRA ne change rien à l'utilisation quotidienne : les systèmes restent simples à utiliser, tout en respectant en arrière-plan les normes de sécurité les plus strictes pour les produits connectés.
Dès le 11 septembre 2026, les entreprises devront signaler les failles de sécurité identifiées à l'Agence de l'Union européenne pour la cybersécurité (ENISA). À partir du 11 décembre 2027, seuls les produits conformes au CRA pourront être mis sur le marché unique européen. Aucune période de transition n'est prévue pour les produits non conformes. Les fabricants, importateurs, distributeurs et entreprises spécialisées porteront désormais une responsabilité continue tout au long de la chaîne d'approvisionnement et devront prouver la conformité des systèmes utilisés. Pour le secteur commercial, le choix des systèmes de commande devient ainsi une décision juridiquement contraignante et économiquement risquée. Avec ONYX, HELLA propose une solution système qui répond déjà, de série, aux nouvelles exigences du CRA.