[TRIBUNE de Pierre Codis, KEYFACTOR] Le 10 octobre dernier, le Conseil de l’Union européenne a adopté le Cyber Resilience Act (CRA), un règlement qui impose des exigences de cybersécurité pour tous les produits embarquant des éléments numériques, qu'ils soient fabriqués dans l'UE ou au dehors. Le CRA vise à intégrer la cybersécurité dès la conception des produits, tout en imposant des mises à jour automatiques pour garantir leur sécurité tout au long de leur cycle de vie. Mais comment les entreprises doivent-elles procéder et dans quels délais ? Pierre Codis, directeur des ventes France Benelux et Europe du Sud de KeyFactor, liste ici les principaux enseignements pour répondre aux exigences de ce nouveau règlement.
1 - Quand, qui et quoi ?
Le compte à rebours de trois ans pour la mise en œuvre complète du CRA, et le délai plus court d'un an pour le signalement des vulnérabilités et des incidents, est déjà lancé. Tous les fabricants dont les produits sont vendus ou utilisés dans l'UE doivent s'y conformer sous peine de se voir infliger de lourdes amendes. Le CRA s'applique ainsi à tous les produits comportant des éléments numériques et s'applique également aux produits tangibles et intangibles, incluant donc les logiciels et les firmwares. En outre, cette règlementation couvre l'ensemble du cycle de vie du produit, pendant au moins cinq ans après son déploiement. Ce qui signifie que les fabricants doivent prendre en compte la sécurité dès la conception et tenir compte des changements susceptibles d'intervenir dans les cinq années à venir.
2 - Comment ?
Le CRA précise ce qui doit être fait, mais pas nécessairement comment. Cela laisse une certaine liberté aux fabricants qui sont toutefois tenus de suivre quelques exigences. Ils doivent évaluer les risques de cybersécurité (en appliquant un plan d'atténuation pour chaque produit destiné au marché européen), ainsi que la base de la classification du produit, et s’assurer que la nomenclature des logiciels est à jour. Ils doivent également livrer chaque produit avec une configuration sécurisée par défaut et mettre en place une protection adéquate contre l'accès non autorisé au produit. Il est par ailleurs impératif qu’ils enregistrent, surveillent ou consignent toutes les activités internes liées à la sécurité. A noter qu’une fois le déploiement effectué, les fabricants devront signaler les incidents et les vulnérabilités connus de leurs produits à l'Agence de cybersécurité de l'Union européenne (ENISA) et prendre des mesures correctives avec des mises à jour de sécurité, gratuitement et sans délai.
3 - Une série de choix à effectuer
Sur la base de la classification du produit, de l'application, de l'utilisation et du coût, l’évaluation des risques détermine les faiblesses potentielles (intégrité du micrologiciel, du matériel, mécanismes de mise à jour...), ainsi que les moyens à mettre en œuvre pour atténuer ces faiblesses. C’est ainsi qu’il faut penser la sécurité dès les premières étapes de la conception du produit en optant pour une racine de confiance matérielle (TPM, processeur sécurisé, élément sécurisé, etc.) et en dotant le produit de suffisamment de mémoire et d'espace de stockage pour supporter les futures mises à jour. De même, les parties logicielle et firmware doivent être soigneusement pensées avec un bootloader (gestionnaire de démarrage) sécurisé reposant sur une racine de confiance, une procédure de provisionnement sécurisée, un dispositif de sécurité s'appuyant sur la racine de confiance pour sécuriser les connexions... Enfin, une série de processus doivent être envisagés, notamment pour signer des firmwares intégrés lors du développement, pour générer, consulter et injecter les firmwares et le matériel cryptographique en toute sécurité, pour mettre en place une identité forte de l'appareil attestant de son authenticité, notamment à travers des PKI (infrastructures à clés publiques).
4 - Une non-conformité lourdement sanctionnée
Chaque État membre de l’UE devra désigner des autorités de surveillance du marché chargées de faire appliquer le CRA. En cas de non-conformité, ces autorités seront habilitées à exiger des corrections, à restreindre la disponibilité des produits non conformes, voire à les retirer du marché, ainsi qu'à infliger des amendes. Ainsi, le non-respect des exigences essentielles en matière de cybersécurité pourra coûter à l’entreprise jusqu’à 15 millions d'euros (ou 2,5 % du chiffre d'affaires annuel), le non-respect de toute autre obligation s’élèvera à 10 millions d'euros (ou 2 % du chiffre d’affaires annuel) et la communication d'informations incorrectes, incomplètes ou trompeuses aux organismes notifiés ou aux autorités de surveillance du marché sera sanctionnée d’une amende de 5 millions d'euros (ou 1 % du chiffre d’affaires annuel).
5 - Cybersécurité : l’union fait la force
Beaucoup d’entreprises craignent de ne pas avoir les connaissances ou les compétences nécessaires pour tout mettre en œuvre correctement, elles ont toutefois encore le temps de se mettre en conformité et peuvent s’appuyer sur des partenaires pour épauler leurs équipes internes. Pour ce faire, elles doivent se poser les bonnes questions sur ce qui doit être déployé sur site ou dans le cloud, sur le choix entre des offres SaaS ou des services gérés, sur les qualités de tel ou tel partenaire (expertise CRA, catégorie de produits ou de solutions, capacité à s’intégrer à d’autres fournisseurs de technologies...).