Le 8 septembre 2023, lors d’un atelier, nos adhérents ont pu rencontrer des experts en cybersécurité et découvrir les toutes dernières exigences européennes relatives à la sécurité des IoT.
L’objectif était de leur fournir des informations plus claires sur la règlementation européenne en matière de cybersécurité IoT et quelques scenarios de parcours pour se mettre en conformité.
Nous vous proposons dans cet article une synthèse des présentations.
Il est avant tout important de rappeler que la cybersécurité englobe plusieurs enjeux, entre autres :
- La protection des données personnelles,
- La confidentialité,
- La sécurité de l’information.
Elle couvre une gamme de technologies et de systèmes de sécurisation, tels que l’IoT, les réseaux sans fil, l’intelligence artificielle…
1. Le cadre réglementaire de la cybersécurité 📄
Intervenant : Pascal BONNENFANT de Groupe Emitech
L’Europe a commencé à s’intéresser à la cybersécurité dès en 2013 lorsqu’elle a mis en place sa première directive.
1️⃣ Première étape : 2019 : le règlement européen Cybersecurity Act (CSA)
A partir de cette année, l’Europe a pris en compte les problèmes de cybersécurité en particulier dans le domaine de l’IoT, via le mandat permanent donné à l’ENISA (l’Agence européenne pour la cybersécurité).
L’idée de ce règlement était de créer un schéma de certification de cybersécuritéen fonction de l’environnement et du type d’IoT en proposant différents niveaux d’assurance :
- Niveau élémentaire, en examinant le dossier technique du fabricant.
- Niveau substantiel, en vérifiant la fonction de sécurité pour répondre et identifier le niveau de vulnérabilité de l’équipement.
- Niveau élevé, en évaluant la résistance des fonctions de sécurité.
2️⃣ Deuxième étape : 2022 : le cyber Resilence Act (CRA)
La Commission européenne travaille sur une nouvelle procédure appelée « cyber resilience Act » qui est encore en cours de discussion et d’examen par le parlement et le conseil européens.
Ce nouvel acte législatif viendra harmoniser le cadre règlementaire de l’UEet définir des exigences essentielles liées à la cybersécurité, aux informations à communiquer aux utilisateurs, à la liste des produits critiques, au contenu du dossier technique et à la procédure d’évaluation. Il s’appliquera entre autres aux équipements radioélectriques relevant du champ d’application du règlement délégué complétant la directive 2014/53/UE relative aux équipements radioélectriques (règlement délégué RED). L’acte législatif sur la cyber-résilience devrait être est aligné sur les exigences du règlement délégué RED.
Pascal Bonnenfant a ensuite détaillé davantage la directive RED en mettant en évidence :
- Les exigences essentielles Sécurité et santé, CEM, utilisation efficiente du spectre (Article 3.1 et 3.2) et les exigences spécifiques concernant la protection des réseaux, des données et la lutte contre la fraude (article 3.3 de la RED).
- Les actes délégués en vigueur, concernant l’article 3.3
Puis un focus essentiel pour nos adhérents a été réalisé à propos de l’acte délégué cyber 2022/30 en mentionnant :
- Les dates clés: application obligatoire au 01/08/2024 (la commission européenne ayant proposé de repousser la date à 2025, sous réserve de la validation du parlement européen), cela vient d’être validé par la décision 2023/2444
- Les domaines d’applications concernéspar cet acte délégué concernant les points d, e et f de l’article 3.3
- La mission confiée au CENELECpour la rédaction d’une norme harmonisée (publication repoussée au 30 juin 2024), EN 18031-1, EN 18031-2, EN 18031-3
- Les normes actuelles sur lesquelles s’appuyeren attendant la norme harmonisée
- Les procédures d’évaluation de la conformité
- L’importance de l’analyse de risque
2. Quels choix s’offrent à mon entreprise en matière de cybersécurité produit et IoT ? 💡
Intervenant : Sébastien F. de CRYPT.ON IT
Sébastien Faux a commencé par élargir la perspective réglementaire pour examiner les normes internationales. En effet, comprendre le paysage international est crucial pour choisir sur quelle réglementation se baser.
L’objectif était d’offrir aux adhérents différentes options pour anticiper le schéma de certification européen.
Voici quelques exemples d’options proposées à nos adhérents :
- Prioriser les normesde référence en fonction des marchés ciblés
- S’assurer que les choix de mesures sont pérennesvis-à-vis des règlementations des marchés considérés
- Démarrer par une analyse des risques cyber pour le ou les produits développés
- Considérer les mesures de sécurité sur l’ensemble du cycle de vie, en prenant en compte les aspects récurrents,
- Présentation de guides pertinents permettant d’élaborer un premier niveau de plan d’action
Sébastien Faux a ainsi offert des conseils variés sur les choix qui s’offrent à nos adhérents.
3. Tester vos produits pour détecter leur(s) vulnérabilité(s) ! 🤖
Intervenant : Guillaume H. de EMITECH
Guillaume Hanna a partagé son expérience en laboratoire pour analyser la norme ETSI EN 303 645 (norme de référence en attendant la publication d’une norme harmonisée en cours de rédaction). Il a présenté les avancées d’EMITECH sur l’examen des 66 points d’exigences des règles de sécurité en les classant par catégories, sévérités et faisabilité.
Il a également fourni des exemples d’outils permettant de tester la sécurité des produits et expliquer comment identifier et résoudre les failles.
Rejoignez-nous ! 📝
A travers cet atelier, nos adhérents ont pu discuter des actions à mettre en place au sein de leur entreprise pour être conforme aux nouvelles exigences en cybersécurité. Ils continueront d’explorer ce sujet lors du prochain atelier où ils pourront faire des recherches, partager leur expérience et être de nouveau accompagné par des experts.
Si ce sujet vous intéresse, n’hésitez pas à nous contacter f.noury@wenetwork.fr
We Network, en collaboration avec le réseau CAP’TRONIC, vous propose de réaliser un pré-diagnostic et d’identifier les actions que vous pourriez mener afin de réduire au maximum l’exposition de votre système embarqué aux risques cyber.
Pour en savoir plus, contactez l’ingénieur conseil Cap’tronic de votre région : www.captronic.fr/Contactez-nous.html
Pour la région Pays de la Loire, contactez Jean-Philippe ENEAU : jp.eneau@wenetwork.fr