La loi sur la cyber-résilience de la Commission européenne, la loi la plus complète régissant la cybersécurité des produits en Europe, entrera bientôt en vigueur. Un certain nombre de modifications ont été apportées récemment pour préciser le champ d'application de la loi. L'adoption formelle est considérée comme sûre dans les cercles d'experts.
« De notre point de vue d'analyse de la sécurité, la spécification de la loi sur la cyber-résilience est la bienvenue, en particulier le niveau de sécurité encore plus étendu pour les utilisateurs finaux. Les classes d'appareils ont été redéfinies : l'article 6 a introduit deux classes supplémentaires de risque de cybersécurité pour les produits matériels et logiciels critiques, dont les fonctions essentielles sont répertoriées à l'annexe III du règlement. Une classe d'appareils comprend des systèmes et des appareils particulièrement critiques. Tous les appareils domestiques intelligents et jouets interactifs sont désormais explicitement inclus.
Analyse automatique
Lors de nos tests, nous avons constaté que ces appareils présentent souvent des failles de sécurité importantes qui peuvent être facilement identifiées grâce à une analyse automatique des pièces essentielles et ainsi corrigées plus rapidement. Le domaine des produits industriels et des routeurs, qui n'était pas inclus dans la version précédente dans la version actuelle, devra peut-être être affiné », déclare Jan Wendenburg, PDG de Onekey. L'entreprise basée à Düsseldorf exploite une plate-forme d'analyse de cybersécurité et de conformité des produits qui analyse les logiciels contenus dans tous les appareils ayant accès au réseau et, en plus d'une liste exacte sous forme de liste de pièces logicielles (SBOM), permet également une analyse de sécurité détaillée avec évaluation des risques. des vulnérabilités possibles. Onekey vérifie et identifie automatiquement les vulnérabilités de sécurité critiques et les violations de conformité dans les logiciels embarqués, en particulier dans les appareils Internet des objets, et les surveille et les gère tout au long du cycle de vie du produit. Les fabricants peuvent désormais créer plus facilement l'auto-déclaration de conformité qui sera exigée à l'avenir à l'aide du nouveau Onekey Compliance Wizard, c'est-à-dire un assistant virtuel, et, si nécessaire, la transmettre à des certificateurs externes via l'exportation.
Délais dans la loi sur la cyber-résilience
Pour de nombreux fabricants, la période de transition de 36 mois accordée par l'UE est déjà serrée – le développement de nouveaux produits et logiciels prend généralement des années – et tous les fabricants doivent donc commencer la mise en œuvre immédiatement. La plateforme d'analyse automatisée de ONEKEY détecte les vulnérabilités et les violations de conformité en quelques minutes, ce qui permet aux fabricants d'appareils connectés d'économiser du temps et des coûts de développement importants. Les délais de déclaration des vulnérabilités de sécurité découvertes sont raccourcis dans le dernier projet de loi sur la cyber-résilience : « Les nouvelles vulnérabilités de sécurité doivent être signalées dans les 24 heures aux autorités de surveillance nationales et à l'Autorité européenne chargée de la sécurité des réseaux et de l'information (ENISA). Pour les entreprises qui fabriquent ou commercialisent des appareils avec accès à Internet ou au réseau, une gestion rapide des risques et une analyse approfondie de leurs propres produits deviennent encore plus importantes afin d'éliminer d'éventuelles lacunes graves du jour zéro bien avant que la loi sur la cyber-résilience n'entre enfin en vigueur. identifier et fermer », poursuit Jan Wendenburg de ONEKEY. Un élément essentiel est la nomenclature logicielle - la SBOM (Software Bill of Materials) - qui, selon l'UE et des autorités telles que l'Office fédéral allemand de la sécurité de l'information (BSI), jouera un rôle central dans la future architecture de sécurité. .
SBOM en un clic de souris
La question de la responsabilité des logiciels open source a également été nouvellement réglementée : dans les précédents projets de loi sur la cyber-résilience, l'obligation de s'y conformer était imposée aux créateurs des logiciels. Cependant, la version actuelle exonère explicitement de toute responsabilité les organisations open source et les personnes physiques en tant que contributeurs à des projets open source. « Cela signifie que la responsabilité du respect des réglementations européennes incombe uniquement aux entreprises qui utilisent le code open source à des fins commerciales ou qui le commercialisent dans le cadre de leurs produits.
Le BSI a formulé à cet effet ses propres directives SBOM. Onekey est déjà en mesure de répondre aux exigences d'analyse et de représentation transparentes des composants utilisés tout au long de la chaîne d'approvisionnement logicielle. Pour ce faire, la plateforme Onekey Product Cybersecurity & Compliance analyse complètement les logiciels et firmwares contenus dans les appareils et, en plus de lister tous les composants inclus, réalise également une analyse des risques de vulnérabilités. « Notre technologie permet une analyse approfondie des logiciels des appareils de toutes les classes d'appareils définies par l'UE », explique le PDG Wendenburg. Grâce au contrôle de conformité intégré, les exigences de conformité technique légale actuelles et futures telles que la CEI 62443-4-2, l'ETSI 303 645 ou la loi européenne sur la cyber-résilience et bien d'autres peuvent être vérifiées automatiquement. À l'avenir, l'auto-déclaration de conformité obligatoire sera créée beaucoup plus rapidement et plus facilement grâce au nouvel assistant de conformité en instance de brevet utilisant un assistant virtuel - et pour les certifications externes, toutes les données pourront être exportées vers le certificateur en un seul clic.
Plus sur OneKey.com
À propos de ONEKEY ONEKEY (anciennement IoT Inspector) est la première plateforme européenne d'analyses automatiques de sécurité et de conformité pour les appareils de l'industrie (IIoT), de la production (OT) et de l'Internet des objets (IoT). À l'aide des "jumeaux numériques" et de la "nomenclature logicielle (SBOM)" des appareils créés automatiquement, ONEKEY analyse indépendamment le micrologiciel pour détecter les failles de sécurité critiques et les violations de conformité, sans aucun accès au code source, à l'appareil ou au réseau.
Articles liés au sujet