{ Tribune Expert } - Cyber resilience Act : que doivent mettre en place les OEM et fabricants pour être en conformité et garantir la sécurité numérique d'un produit ?

48 % des OEM (1) estiment que les fabricants d'appareil seraient - au moins en grande partie - responsables des cyberattaques subies par leur produit. Dans un monde de plus en plus interconnecté, où les attaques sont toujours plus nombreuses, la cybersécurité doit être une priorité absolue pour toute entreprise industrielle.

Pour encadrer la cybersécurité des produits embarquant des composants numériques, l'Union européenne a introduit une nouvelle règlementation : le Cyber Resilience Act (CRA). Son entrée en vigueur imminente met la sécurisation du cycle de vie des appareils (dès leur conception) au coeur des préoccupations des entreprises. La gestion des certificats et l'infrastructure à clé publique (PKI) peuvent fournir les éléments essentiels pour se conformer à cette réglementation et ainsi garantir la sécurité numérique d'un produit tout au long de son cycle de vie. Pour réduire les risques et éviter les sanctions, les entreprises doivent dès à présent choisir les bonnes solutions et les bons partenaires.

Le Cyber Resilience Act, c'est quoi ?

Le Cyber Resilience Act constitue un changement radical dans le paysage de la cybersécurité en Europe. Cette législation vise à renforcer significativement la protection contre les cybermenaces en établissant des exigences contraignantes pour les fabricants, les fournisseurs, les importateurs, les distributeurs et les utilisateurs de produits numériques au sein de l'UE.

Ce qui implique de mettre en place un socle minimum de sécurité, une documentation détaillée sur l'analyse de risque cyber pour chaque produit (à disposition de l'ENISA), une totale transparence, sur le niveau de cyber de la machine, une réaction immédiate aux failles détectées avec une obligation de déclaration à l'ENISA et une réparation gratuite pour tous les produits déjà vendus. Le CRA devrait garantir une cybersécurité généralisée au coeur de l'écosystème numérique en Europe à l'horizon 2027.

Cette nouvelle réglementation est obligatoire et son respect est une condition préalable à l'autorisation du marquage CE des produits, ainsi qu'à leur distribution sur le marché européen. Ce marquage indiquera, en effet, si un produit ou un logiciel respecte les nouvelles normes et renforcera la confiance des clients et entreprises vis-à-vis des fabricants. Au-delà de l'Europe, un fabricant étranger qui veut vendre un produit en Europe devra également s'y soumettre.

L'objectif majeur de cette législation est d'être honnête et transparent avec les clients et utilisateurs en matière de cybersécurité mais également de protéger les droits fondamentaux des utilisateurs (droit à la vie privée, protection des données personnelles,...) d'harmoniser les exigences de cybersécurité au sein de l'UE et de renforcer la résilience globale.

A qui et quels produits s'adresse le Cyber Resilience Act ?

Tous les acteurs de la filière (fabricants, fournisseurs, importateurs, distributeurs et utilisateurs de produits numériques) sont concernés et vont devoir s'adapter à ces nouveaux impératifs afin de garantir la sécurité numérique de leurs produits tout au long de leur cycle de vie.

Bien au-delà des smartphones et montres connectées, le CRA vise à renforcer la cybersécurité d'autres produits contenant des éléments numériques comme les compteurs d'eau, d'électricité ou de gaz, les composants et machines industriels, les équipements télécoms, les vélos et scooters, les engins de chantier, les bornes de recharge de véhicules électriques .... Les industries automobile, médicale et aérienne, déjà très réglementées par des législations européennes encore plus contraignantes, ne sont pas concernés par le CRA.

Les sanctions et amendes prévues par le Cyber Resilience Act

En cas de non-conformité au CRA, les entreprises s'exposeront à des sanctions pouvant atteindre jusqu'à 15 millions d'euros ou 2,5% du chiffre d'affaires total sur l'exercice annuel précédent, le montant le plus élevé étant retenu. En outre, un produit jugé non conforme ou présentant un risque pourra faire l'objet de restrictions allant jusqu'au retrait du marché, imposées par les autorités de surveillance des marchés désignées par les États membres. Une start-up ne sera pas pénalisée de la même manière qu'une multinationale, et une faute portant sur la sécurité des produits sera plus lourdement sanctionnée qu'un manquement administratif.

Les mandataires, les importateurs, les distributeurs, les organismes d'évaluation et leurs sous-traitants qui contreviennent à leurs obligations encourent, pour leur part, des amendes pouvant aller jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial, là encore le montant le plus élevé étant retenu.

Ce deuxième barème s'applique également à l'ensemble des acteurs lorsque la non-conformité concerne des obligations relatives à la déclaration UE de conformité, à la documentation technique, aux règles d'apposition du marquage CE, à l'évaluation de la conformité ou à l'accès aux données et à la documentation.

Enfin, la fourniture d'informations inexactes, incomplètes ou trompeuses aux organismes notifiés ou aux autorités de surveillance du marché peut faire l'objet d'une amende pouvant aller jusqu'à 5 millions d'euros ou 1% du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu.

La place de la PKI et de la signature de code dans la conformité CRA

Faute de répondre à certaines obligations, les entreprises ne pourront plus recourir au marquage CE. Chaque fois qu'une entreprise conçoit un nouveau produit, elle doit procéder à une analyse des risques pour identifier la nature des vulnérabilités, signaler tout incident afin de rassembler toute la documentation nécessaire, fournir aux clients des mises à jour de sécurité et réparer gratuitement les failles de sécurité pendant tout le cycle de vie du produit. Ce dernier point implique d'ailleurs de :

- Prévoir un dispositif de mise à jour du logiciel à distance sécurisé, comprenant :

- Un secure boot qui empêche le chargement de malwares au cours du processus de démarrage d'une machine.

- Une infrastructure de signature de bootloader et de code, produit par produit, qui soit auditable à tout moment, dont les clés et certificats sont gérés par une infrastructure de type PKI et HSM.

- Un dispositif de mise à jour à distance - pour éviter d'envoyer des prestataires sur place pour réparer des machines - qui nécessite une connexion sécurisée et l'utilisation recommandée d'une stack TLS et de certificats x.509 issus d'une PKI et HSM.

- Sécuriser les connexions applicatives des produits connectés avec leur back-end - l'état de l'art recommande également d'utiliser une stack TLS et des certificats x.509 issus d'une PKI et HSM

- Personnaliser chaque objet/machine lors de sa fabrication avec des dispositifs logiciels, identités et clés numériques, de manière sécurisée pour empêcher la contrefaçon ou le vol de clés.

- Tenir a jour une SBOM - Software Bill of Material afin de pouvoir en permanence déterminer l'impact de vulnérabilités logicielles connues sur le produit et pouvoir prendre les actions correctives

Le CRA n'impose pas nécessairement d'adopter de nouvelles technologies de sécurité, mais plutôt de suivre les bonnes pratiques. Il est, notamment, essentiel d'authentifier tous les produits, chaque appareil a, donc, besoin d'un document numérique, le certificat initial de l'appareil, pour s'identifier et prouver son authenticité en cas de besoin. Pour émettre ces certificats, il est recommandé de déployer et de configurer une PKI composée d'une autorité de certification (AC) racine et d'une AC subordonnée, dédiée à chaque ligne de produits. L'AC subordonnée génère un certificat initial unique pour chaque appareil fabriqué.

Lorsqu'il s'agit d'être en conformité avec le CRA, la gestion de la PKI, des certificats et la mise en place d'une infrastructure de SBOM et de signature de code deviennent donc particulièrement importantes pour les OEM. Investir ces technologies est la meilleure réponse à apporter aux exigences de cette nouvelle réglementation qui nous protège et dont le reste du monde commence déjà à s'inspirer.

* Guillaume Crinon est Director, IoT Business Strategy de Keyfactor

(1) 1 Source : Quarkslab and EU Commission