LACROIX

LACROIX Impulse

IoT

Avec une croissance exponentielle du nombre d’appareils interconnectés prévue, atteignant environ 75 milliards d’ici 2025, la sécurité en ligne devient une préoccupation de plus en plus pressante pour les acteurs opérant dans le domaine de l’IoT. Pour faire face à ce phénomène, la Commission Européenne a introduit le 15 septembre 2022 une législation novatrice en Europe, baptisée « Cyber Resilience Act » (CRA). Cette proposition réglementaire vise à consolider la sécurité numérique des articles renfermant des éléments digitaux, marquant ainsi une étape significative dans le paysage en constante évolution de la cybersécurité.

Zoom sur le Cyber Resilience Act et ce qu’il va changer des projets IoT.

 

Qu’est ce que le Cyber Resilience Act (CRA)?

 

Speaker_YannickGaudin

« Le Cyber ​​Resilience Act (CRA) fournit un cadre réglementaire commun aux États membres pour lutter contre le nombre croissant de cyberattaques
dont sont victimes les appareils connectés, de manière à responsabiliser les acteurs économiques de la cybersécurité des produits qu’ils proposent sur le marché européen. « 

Yannick Gaudin
Architecte Sécurité, LACROIX

Se conformer aux points de vigilence

  1. Exigences en matière de sécurité des données IoT

Dans le monde interconnecté de l’IoT, la collecte et le traitement de données personnelles et sensibles sont devenus monnaie courante. Cependant, la Cyber Resilience Act souligne l’impératif de protéger ces données contre tout accès non autorisé.

Les conséquences d’une violation de données peuvent être dévastatrices, entraînant non seulement des dommages financiers, mais aussi une perte de confiance des clients. Pour répondre à ces exigences, il est essentiel de mettre en place des mesures de sécurité robustes et de garantir une gestion appropriée des données.

 

  1. Normes de cybersécurité pour les dispositifs IoT

Le CRA met l’accent sur l’importance de concevoir des dispositifs IoT sécurisés dès leur création (on parle de “secure by design”). Les normes de cybersécurité recommandées visent à garantir la protection des dispositifs contre les vulnérabilités et les failles potentielles.

Intégrer la sécurité dès le début du processus de développement est fondamental pour éviter des lacunes de sécurité coûteuses et pour assurer la conformité aux exigences du Cyber Resilience Act. Cette approche proactive réduit les risques et établit une base solide pour des projets IoT.

 

  1. Gestion des vulnérabilités et des incidents

La surveillance continue des vulnérabilités et la réponse rapide aux incidents de sécurité sont des éléments centraux de cette réglementation. Les entreprises doivent être en mesure d’identifier et de corriger rapidement les failles de sécurité pour minimiser les dommages potentiels.

Une réponse efficace en cas d’incident nécessite des processus bien définis et une collaboration entre les équipes techniques et les parties prenantes.

Anticiper la mise en place du Cyber Resilience Act

Expert en conception électronique et spécialisé dans les solutions IoT, LACROIX accompagne ses clients à chaque étape du développement de leurs projets IoT.

Afin d’être conformes au Cyber Resilience Act, les acteurs de l’IoT doivent répondre à plusieurs critères. Et LACROIX est le partenaire idéal pour garantir le respect de ces 5 points clés :

 

Sécurité dès la conception (Secure by design)

  • Cadre technique : architecture, cryptographie, enclave sécurisée…
  • Processus : cycle de vie des produits, gestion de crise, bonnes pratiques R&D…

Modèle d’analyse des risques et des menaces, avec examen cyclique

Politique de divulgation des vulnérabilités (VDP)

  • Mise en place de Tracker CVE, avec des équipes organisées autour
  • Canal de communication pour informer vos clients
  • Actions d’atténuation/résolution déclenchées rapidement

Mises à jour à grande échelle à tout moment

  • Du firmware de votre produit
  • Mise en place de la rotation des secrets

Correctifs de sécurité gratuits

  • Tout au long du cycle de vie du produit (minimum 5 ans)

Gros plan sur la conférence PizzaIoT sur le Cyber Resilience Act

Pour en savoir plus sur le CRA et son impact sur les projets IoT, LACROIX a organisé une conférence PizzaIoT au cœur de Paris le mardi 23 mai 2023.

Quel est le concept de PizzaIoT ? Un événement afterwork, où l’on parle d’IoT… tout en dégustant une pizza !

  • Quels sont les enjeux de cette réglementation et quel est son impact sur les produits IoT ?
  • Que doivent faire les entreprises pour se préparer ?
  • Quelles sont les recommandations d’acteurs tels que LACROIX, Provenrun et Kereval pour accompagner le déploiement de cette norme, de la conception à la maintenance en passant par la validation ?
  • Évolution des normes, conception électronique, briques technologiques, validation de la conception, gestion des vulnérabilités de sécurité et des certificats, mise à jour des micrologiciels, plateformes IoT et au-delà : où en est-on aujourd’hui sur ces aspects ?

Tels étaient les principaux sujets abordés lors de la conférence animée par trois intervenants clés du monde de l’IoT : LACROIX, ProvenRun (éditeur de logiciels pour la sécurité de l’Internet des objets) et Kereval (laboratoire d’ingénierie de tests logiciels).

Une trentaine de participants se sont réunis pour participer à la conférence, qui s’est poursuivie par une session de networking dédiée à l’IoT, le tout autour d’une pizza dans le cadre splendide de Bpifrance.

➡️ WATCH THE VIDEO OF THE CONFERENCE

Si le sujet du développement IoT vous intéresse, découvrez également la précédente conférence PizzaIoT : Zephyr OS dans tous ces états.