MtoM Mag - Le journal de l'MtoM.

Alors que les cybermenaces ciblant les objets connectés ne cessent d’augmenter et face à l’arrivée de nouvelles réglementations obligatoires comme le Cyber Resilience Act (CRA), la sécurisation du cycle de vie des appareils (dès leur conception) est au cœur des préoccupations des entreprises. Dans un contexte, où 48 % des OEM[1] estiment que les fabricants d’appareil seraient, au moins en grande partie, responsables des cyberattaques subies par leur produit, Keyfactor dévoile une feuille de route de 10 étapes clés pour les accompagner.

 1/ Identifier les normes et réglementations applicables Les fabricants doivent intégrer dès le démarrage les exigences de sécurité dictées par leur secteur ou leur région : NIS2, GDPR, CRA en Europe, ISO 21434 dans l’automobile, ou encore IEC 62443 pour l’industrie. Cette anticipation, dès le démarrage du projet, évite les refontes coûteuses en fin de développement et offre une meilleure agilité face à des normes en constante évolution.

 2/ Evaluer les risques Alors que près de 80 % des entreprises s’inquiètent de leur capacité à s’adapter aux risques et aux évolutions en cryptographie[2], une analyse rigoureuse des risques de cybersécurité de chaque produit, tout au long de son cycle de vie (de sa conception à son retrait du marché), est indispensable.

 3/ Définir un Root of Trust (RoT) fiable Le RoT (matériel ou logiciel) permet de stocker et protéger les secrets critiques des appareils (certificats, clés de vérification de signature logicielle, …) et garantit l’intégrité des fonctions cryptographiques. Il doit être choisi en fonction du nombre de secrets à protéger, de leur format et de leur taille, des algorithmes utilisés (RSA ou ECC), de la capacité à mettre à jour ces secrets ou algorithmes après le déploiement et du coût des composants (BOM).

 4/ Sélectionner un microcontrôleur (MCU) adapté aux exigences de sécurité Pour garantir la sécurité à long terme d’un appareil IoT, il est essentiel de choisir un microcontrôleur (MCU) doté de suffisamment de mémoire (Flash, RAM) pour prendre en charge les futures mises à jour de sécurité, tout en anticipant les évolutions logicielles et les exigences réglementaires. Il convient également d’anticiper les besoins de mise à jour les composants périphériques comme les chipsets BLE ou Wi-Fi.

 5/ Implémenter un processus de secure boot vérifié Le bootloader, logiciel qui s’exécute au démarrage de l’appareil, s’appuie sur la Root of Trust (RoT) pour valider la légitimité du code au démarrage. En cas d’anomalie, il peut arrêter l’appareil, passer en mode sans échec ou signaler l’erreur. La signature du bootloader est générée avec une clé privée conservée dans l’infrastructure de développement, tandis que la clé publique est gravée de manière permanente dans l’appareil. Les étapes suivantes (OTA, OS, applications) sont signées avec d’autres clés, vérifiées via des certificats X.509 gérés par une PKI, à régulièrement renouveler.

 6/ Assurer des mises à jour OTA sécurisées Indispensables pour répondre aux menaces émergentes, les mises à jour de sécurité doivent être assurées tout au long du cycle de vie d’un produit et gratuitement par le vendeur, un mécanisme OTA (Over-The-Air) sécurisé est donc indispensable. Basé sur le Root of Trust, il doit être piloté depuis une plateforme centralisée de gestion des appareils, intégrer une protection anti-rollback, utiliser des connexions mTLS avec certificats X.509 émis par la PKI, inclure un système de vérification de signature et offrir une traçabilité des mises à jour. Enfin, il doit également permettre de mettre à jour les actifs cryptographiques face à l’évolution des algorithmes.

 7/ Déployer une infrastructure PKI maîtrisée Un certificat unique émis par une autorité de certification (CA) interne doit être attribué à chaque appareil. L’infrastructure PKI, hébergée en SaaS, on-premise ou hybride, est donc indispensable. Elle gère l’émission, la vérification et la révocation des certificats et des clés de signature en temps réel. Pour un meilleur contrôle, il est recommandé d’en garder la maîtrise en interne et d’anticiper le passage à la cryptographie post-quantique.

 8/ Mettre en place une infrastructure de signature de code Une infrastructure de signature de code est essentielle pour garantir l’authenticité et l’intégrité des logiciels installés sur les dispositifs IoT. Chaque composant logiciel (firmware, système d’exploitation, piles logicielles, SDK et applications) doit être signé numériquement avant toute mise à jour ou déploiement sur un appareil pour vérifier que le code est légitime. Cette infrastructure doit être compatible avec les microcontrôleurs utilisés et émettre des certificats compatibles avec le Root of Trust de l’appareil. Enfin, sa sécurité repose sur une gestion stricte des clés de signature : stockage sécurisé, accès contrôlé, usage différencié selon les environnements (production, test, certification), et traçabilité.

 9/ Sécuriser les phases de fabrication Les certificats et les clés de vérification peuvent être intégrés avant, pendant et après la fabrication. Chaque approche présente des avantages et des risques en matière de flexibilité, de sécurité et de contrôle mais quelle que soit l’option retenue, il est essentiel de les stocker dans des mémoires protégées pour éviter toute compromission.

 10/ Créer et maintenir à jour un SBOM (Software Bill of Materials) Le SBOM recense tous les composants logiciels d’un produit IoT (firmware, bibliothèques, dépendances open source, etc.), ainsi que les processus utilisés pour les intégrer. Mis à jour en continu tout au long du cycle de vie du produit, il permet d’identifier les vulnérabilités et d’y remédier rapidement. Même si cela n’est pas encore obligatoire, il est fortement recommandé de dater et signer numériquement chaque version du SBOM, pour garantir son authenticité et sa traçabilité dans le temps.

« En mettant en oeuvre, dès la conception, une PKI maîtrisée, une gestion rigoureuse des certificats, un SBOM structuré et une infrastructure de signature de code robuste, les OEM peuvent non seulement se conformer aux nouvelles réglementations comme le Cyber Resilience Act, mais aussi renforcer durablement la sécurité de leurs produits IoT. » déclare Guillaume Crinon, Directeur de la stratégie IoT chez Keyfactor.