A l’occasion de la tenue des Assises de l’Embarqué qui se tiennent ce jour à Paris, l’association Embedded France annonce la création du groupe de travail Cybersécurité qui rassemble des acteurs de haut niveau spécialisés dans les thématiques cyber des systèmes embarqués et se donne comme ambition d’aider les acteurs de la chaîne de création de systèmes embarqués complexes à réduire significativement les impacts des cyberattaques.
L’idée sous-jacente à cette initiative est de s’appuyer sur un écosystème, des normes et des réglementations existantes pour faire progresser les compétences des industriels en matière de protection cyber des systèmes embarqués.
Concrètement, le groupe prévoit d’une part de créer un parcours pédagogique accessible à tous et d’autre part de mettre en place un référentiel nommé “cyber scoring together” qui permettra à chaque organisation de mesurer de manière neutre le niveau réel de protection atteint et, de manière collective, d’aider les différentes filières de l’industrie de l’embarqué à améliorer leur propre résilience.
On le sait, les cyberattaques qui frappent les dispositifs embarqués prennent une désormais ampleur inédite, à la fois par leur nombre et par l’extension de leurs domaines d’application. Ainsi selon les membres du groupe de travail Cyber, les statistiques de l’ANSSI/CERT (CVE de MITRE) montrent un accroissement permanent des menaces dans tous les secteurs d’activité. Dans ce cadre, le groupe de travail estime qu’il faut de poser des questions clés : Quel est le point commun à toutes ces attaques ? Comment expliquer leur déploiement sur les systèmes embarqués qui s’accompagne d’impacts majeurs ? et qui s’attache à combattre véritablement ce fléau et comment ?
En vue d’aider les entreprises de l’embarqué à développer des systèmes plus sécurisés et moins vulnérables aux attaques, le groupe de travail indique qu’il va s’appuyer sur plusieurs atouts. Tout d’abord, l’expertise pointue de ses membres notamment au niveau éducation et sensibilisation (ESIEE, Grenoble INP-Esisar), consulting (Quantyss), au niveau des technologies de bases déjà développées comme les racines de confiance (CetraC.io, Secure-IC), des technologies de protection en profondeur (ProvenRun, Safran, Secure-IC, Sysgo, TrustInSoft), des technologies de recherche de vulnérabilités (Moabi, We Are Cyber), des approches de prise en compte de la sécurité dans l’intégration, ou “secure by design” (Cap Gemini Engineering, Mathworks, Sciensys, Viveris) et enfin des connaissance dans la sécurité des opérations sur un système final, avec une supervision (Ampere, Thalès).
Le groupe de travail va donc s’appuyer sur ses forces et ses expertises afin de se coordonner en partageant retours d’expérience et bonnes pratiques. Les membres soulignent à ce effet que leur connaissance des règlements (recommandations et procédures ANSSI, DGA, règles européennes CRA, EUCC, EUCS, NIS2, RED) et leur expérience dans leur adoption des normes, notamment au niveau des schémas de certification en vigueur (Critères Communs et ses dérivés, comme SESIP, EMVCo, etc ou schémas sectoriels comme l’IEC 62443 pour l’industrie, l’ISO/SAE 21434 pour l’automobile, etc.) sont des éléments structurants.
Le groupe de travail va ainsi développer un parcours cyber conçu dans un langage accessible aux entreprises souhaitant renforcer leurs compétences en cybersécurité. Ce document va détailler les étapes clés pour mettre en place des processus de protection contre les cyberattaques en couvrant la gouvernance, la formation et l’amélioration continue, les certifications, le déploiement des solutions technologiques adéquates (matériels et logiciels), ainsi que leur gestion efficace (configuration, supervision, analyse et réaction).
Parallèlement, le groupe de travail va définir une métrique indépendante appelée “cyber scoring together” qui permettra d’évaluer le niveau de sécurité atteint en termes de KPI (Key Performance Indicators). Ce référentiel sera étalonné sur les normes transversales et sectorielles afin de fournir un niveau global quantitatif dont la vocation est d’être utilisé au-delà de nos frontières. Avec comme ambition d’endiguer le risque de se voir imposer un référentiel privé et/ou étranger qui s’imposerait alors à nous.
Pour mener ces travaux, à ce jour, le groupe de travail cybersécurité embarquée rassemble dix- sept membres actifs, à savoir Ampere (groupe Renault), Cap Gemini Engineering, CetraC.io, les écoles ESIEE et Grenoble INP-Esisar, Mathworks, Moabi, ProvenRun, Quantyss, Safran, Sciensys, Secure-IC (tout récemment racheté par Cadence), Sysgo, Thales, TrustInSoft, Viveris, et We Are Cyber. Le groupe est coordonné par Sylvain Guilley (Secure-IC) et Gerulf Kinkelin (CetraC.io) épaulés par les pilotes des Groupes de Travail de l’association, Éliane Fourgeau, Présidente de Quantyss et Franck Serratrice, Expert en Assurance Qualité Logicielle Embarquée chez Ampere.