Le PSA Certified 2023 Security Report publié par PSA Certified, organisme destiné à la certification de la sécurité du matériel, des logiciels et des appareils IoT (*), révèle comment l’investissement dans la sécurité des appareils connectés s’est accéléré alors que la législation à venir imprègne de plus en plus les esprits.
Ce baromètre annuel des perceptions et des intentions sectorielles en matière de sécurité des appareils connectés (**), qui en est à sa troisième édition, a constaté que, pour les trois quarts des entreprises interrogées, la sécurité est devenue une priorité commerciale plus importante au cours des douze derniers mois et qu’elles dépensent en moyenne 15,3% de plus en 2023 qu'en 2022 dans les domaines liés à la sécurité.
L'arrivée de la réglementation, moteur des dépenses
Ainsi, dans le détail, les dépenses moyennes par entreprise pour l’investissement dans la sécurité et les dépenses pour le renforcement de la sécurité dans les produits ont toutes deux augmenté de 12%. Les dépenses consacrées à la validation externe sont également en hausse, les dépenses consacrées aux tests et à l’évaluation en laboratoire tiers ayant augmenté de 24% et celles consacrées à la certification de sécurité de 14%.
En explorant les raisons de la hausse de ces investissements, le rapport indique que l’alignement sur les réglementations à venir à l'échelle mondiale aura un impact profond sur les entreprises. Environ la moitié (49%) des répondants essaient ainsi activement d'être conformes à la Loi sur la cyberrésilience de l’Union européenne, 40% disent la même chose à propos de la directive de l’UE sur les équipements radioélectriques (RED) et 39% vont dans le même sens à propos de la Product Security and Telecommunication Infrastructure (PSTI) au Royaume-Uni. Il semble donc, selon les résultats de l’enquête, que le secteur soitt arrivé à un carrefour avec des entreprises qui prennent d’ores et déjà des mesures pour garder une longueur d’avance sur cette question de la conformité réglementaire à des textes, les trois quarts (75%) des répondants citant cet axe de travail comme une priorité.
Pour contextualiser cette évolution, près des deux tiers (64%) des répondants estiment que la réglementation à venir, telle que la loi sur la cyberrésilience de l'UE, est encore plus importante que le règlement général sur la protection des données de l’UE (RGPD), qui a eu une incidence majeure sur la manière dont les données sont partagées à l’échelle mondiale.
En se référant à nouveau au poids de la demande des consommateurs pour plus d’assurance sur la sécurité des appareils connectés, 65% des entreprises estiment en outre que la réglementation aura en sus un impact positif sur leurs résultats financiers. Cependant, l’incertitude subsiste : 69% des dirigeants d’entreprise indiquent que la réglementation a besoin d’être mieux définie et 64% disent qu’ils ont besoin de plus d’orientations sur la façon de s’y conformer.
« Au fur et à mesure que les normes de sécurité et les réglementations évoluent, s’assurer que la confiance soit intégrée aux appareils est devenu une priorité pour les entreprises, souligne David Maidment, directeur principal Secure Devices Ecosystem chez Arm et cofondateur de PSA Certified. La valeur d’avoir une sécurité certifiée dans des composants éprouvés est désormais établie, et les entreprises prédisent qu’elle ne fera qu'augmenter. Par conséquent, ils sont motivés à garder une longueur d'avance et à s’aligner sur la réglementation dès maintenant. »
Des tensions dans le recrutement de spécialistes
Côté utilisateurs, l’enquête montre que les acheteurs attendent un niveau de sécurité plus élevé, et près des deux tiers (65%) recherchent des références de sécurité lors de l’achat de produits connectés. Et plus des deux tiers (69%) se disent prêts à payer un supplément pour une sécurité intégrée. Si bien qu’en conséquence, selon le rapport, presque tous les décideurs technologiques (96%) considèrent la sécurité des appareils comme un avantage pour leur résultat net.
Parallèlement, le rapport montre que les entreprises adoptent de plus en plus de mesures de sécurité pour réduire les risques et la responsabilité et, dans ce cadre, plus de la moitié des répondants disent qu’une certification de sécurité est utile pour prouver la robustesse aux clients (53%) — une augmentation de 21% en glissement annuel. Sur le terrain, actuellement, le principal obstacle que les entreprises ressentent pour générer les meilleures pratiques en matière de sécurité est de disposer des compétences nécessaires pour la mettre en œuvre. Le manque de spécialistes de la sécurité (29%) et la complexité du domaine (25%) sont les principaux obstacles à la mise en œuvre d’une sécurité renforcée.
Dans ce cadre, un nombre important d’entreprises sondées prévoient d’optimiser les compétences de leur équipe actuelle en matière de sécurité (51%) et d'étoffer leurs effectifs (44%) au cours des douze prochains mois.
« Ce sont des signes positifs pour les emplois et des opportunités dans le secteur, mais les compétences à elles seules ne résoudront pas la menace pour la sécurité, souligne David Maidment. Une solution évolutive, conçue avec des composants de confiance précertifiés combinés à des normes reconnues et à des tests externes, joue un rôle essentiel et rencontre aujourd’hui un consensus grandissant auprès des industriels. »
Le rapport “PSA Certified 2023 Security Report” est accessible dans son intégralité ici.
(*) L’entité PSA Certified est un partenariat mondial d'entreprises qui intègre de manière proactive les meilleures pratiques de sécurité en proposant une plateforme logicielle et une méthode d’évaluation à trois niveaux. Cette initiative puise ses racines dans le cadre de sécurité PSA Certified d’Arm lancé en mars 2019 avec le concours de plusieurs laboratoires indépendants de test spécialistes de la sécurité - Brightsight, CAICT, Riscure et UL - et de sociétés spécialisées comme le français Prove & Run, rejoint par la suite par Applus+ Laboratories, ECSEC Laboratoire, Serma et TrustCB - l’ensemble de ces organismes et sociétés fournissant les ressources nécessaires.
(**) Résultats obtenus auprès 1 240 décideurs technologiques interrogés à l'échelle mondiale
Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC