En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Dossiers

Keyfactor rappelle 5 faits majeurs pour se mettre sereinement en conformité

Publication: 21 novembre

Partagez sur
 
Le Conseil de l’Union Européenne a adopté le Cyber Resilience Act (CRA), un règlement qui impose des exigences de cybersécurité pour tous les produits embarquant des éléments numériques, qu’ils soient fabriqués dans l’Union européenne ou en dehors...
 

Le CRA vise à intégrer la cybersécurité dès la conception des produits, tout en imposant des mises à jour automatiques pour garantir leur sécurité tout au long de leur cycle de vie et ainsi améliorer la cybersécurité et la cyber-résilience dans l’UE grâce à des normes communes. Comment les entreprises doivent-elles procéder et dans quels délais ? KeyFactor liste les principaux enseignements pour répondre aux exigences de ce nouveau règlement.

1. Quand, qui et quoi ?

Le compte à rebours de trois ans pour la mise en œuvre complète du CRA, et le délai plus court d’un an pour le signalement des vulnérabilités et des incidents, est déjà lancé. Tous les fabricants dont les produits sont vendus ou utilisés dans l’UE doivent s’y conformer sous peine de se voir infliger de lourdes amendes.

Le CRA s’applique à tous les produits comportant des éléments numériques et s’applique également aux produits tangibles et intangibles, incluant donc les logiciels et les firmwares.

En outre, cette règlementation couvre l’ensemble du cycle de vie du produit, pendant au moins cinq ans après son déploiement. Cela signifie que les fabricants doivent prendre en compte la sécurité dès la conception et tenir compte des changements susceptibles d’intervenir dans les cinq années à venir.

2. Comment ?

Le CRA précise ce qui doit être fait, mais pas nécessairement comment. Cela laisse une certaine liberté aux fabricants qui sont toutefois tenus de suivre quelques exigences. Ils doivent évaluer les risques de cybersécurité (en appliquant un plan d’atténuation pour chaque produit destiné au marché européen), la base de la classification du produit et s’assurer que la nomenclature des logiciels est à jour. Ils doivent également livrer chaque produit avec une configuration sécurisée par défaut et mettre en place une protection adéquate contre l’accès non autorisé au produit. Il est, par ailleurs, impératif qu’ils enregistrent, surveillent ou consignent toutes les activités internes liées à la sécurité.

A noter, qu’une fois le déploiement effectué, les fabricants devront signaler les incidents et les vulnérabilités connues de leurs produits à l’Agence de cybersécurité de l’Union européenne (ENISA) et prendre des mesures correctives avec des mises à jour de sécurité, gratuitement et sans délai.

3. Une série de choix à opérer

Sur la base de la classification du produit, de l’application, de l’utilisation et du coût, l’évaluation des risques détermine les faiblesses potentielles (intégrité du micrologiciel, du matériel, mécanismes de mise à jour, ...) ainsi que les moyens à mettre en œuvre pour atténuer ces faiblesses. C’est ainsi qu’il faut penser la sécurité dès les premières étapes de la conception du produit en optant pour une racine de confiance matérielle (TPM, processeur sécurisé, élément sécurisé, etc.) et en dotant le produit de suffisamment de mémoire et d’espace de stockage pour supporter les futures mises à jour.

De même, la partie logicielle et firmware doit être soigneusement pensée avec un bootloader sécurisé reposant sur une racine de confiance, une procédure de provisionnement sécurisée, un dispositif de sécurité s’appuyant sur la racine de confiance pour sécuriser les connexions, ...

Enfin une série de processus doivent être envisagés, notamment pour signer des firmwares intégrés lors du développement, pour générer, consulter et injecter les firmwares et le matériel cryptographique en toute sécurité, pour mettre en place une identité forte de l’appareil attestant de son authenticité via PKI, ...

4. Une non-conformité lourdement sanctionnée

Chaque État membre devra désigner des autorités de surveillance du marché chargées de faire appliquer le CRA. En cas de non-conformité, ces autorités seront habilitées à exiger des corrections, à restreindre la disponibilité des produits non conformes, voire à les retirer du marché, ainsi qu’à infliger des amendes. Ainsi, le non-respect des exigences essentielles en matière de cybersécurité pourra coûter à l’entreprise 15 millions d’euros (ou 2,5 % du chiffre d’affaires annuel), le non-respect de toute autre obligation s’élèvera à 10 millions d’euros (ou 2 % du CA annuel) et la communication d’informations incorrectes, incomplètes ou trompeuses aux organismes notifiés ou aux autorités de surveillance du marché sera sanctionnée d’une amende de 5 millions d’euros (ou 1 % du CA annuel).

5. Cybersécurité : l’union fait la force

Beaucoup d’entreprises craignent de ne pas avoir les connaissances ou les compétences nécessaires pour tout mettre en œuvre correctement, elles ont toutefois encore le temps de se mettre en conformité et peuvent s’appuyer sur des partenaires pour épauler leurs équipes internes. Pour ce faire elles doivent se poser les bonnes questions sur ce qui dit être déployé sur site ou dans le cloud, sur le choix entre des offres SaaS ou de services gérés, sur les qualités de tel ou tel partenaire (expertise CRA, catégorie de produits ou de solutions, capacité à s’intégrer à d’autres providers, ...)

https://www.keyfactor.com/

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: