L'Internet des objets à l'épreuve du cyber resilience act : passer de la conformité à la performance

Guillaume Crinon
Keyfactor

Le cyber resilience act pousse l'IoT et les systèmes industriels connectés à repenser la sécurité dès la conception, pour en faire un levier de confiance, de performance et de croissance durable.

L’Internet des Objets (IoT) et les systèmes industriels connectés sont au cœur de la transformation numérique des entreprises. Mais cette modernisation s’accompagne d’un défi majeur : garantir la sécurité et la conformité de ces environnements, souvent composés d’infrastructures obsolètes et hétérogènes, tout en maintenant la continuité des opérations. Avec l’entrée en vigueur du cyber resilience act (CRA), l’enjeu est de taille. Fabricants, intégrateurs et opérateurs doivent intégrer ces nouvelles exigences dans leurs produits connectés tout au long de leur cycle de vie (de la conception à la maintenance, en passant par les mises à jour et la gestion des risques) sans interrompre la production ni remettre en cause des systèmes déjà en place. Cette évolution marque un tournant culturel majeur : la cybersécurité ne se conçoit plus comme une contrainte mais s’impose comme un vecteur de performance et de confiance numérique.

Le cyber resilience act : une révolution silencieuse

Le CRA transforme en profondeur le cadre réglementaire européen. Il impose une approche de sécurité “by design”, exigeant des fabricants qu’ils conçoivent des appareils - du capteur industriel au dispositif grand-public - capables de résister durablement aux menaces. Concrètement, il s’agit d’intégrer la sécurité dès la conception et de veiller en permanence à ce que le produit ne contienne aucune vulnérabilité, ni comportement anormal. Le cas échéant, il faut le signaler immédiatement à l’agence Européenne de cybersécurité (ENISA), en informer les clients et leur fournir gratuitement un correctif. Il convient également de protéger la confidentialité et l’intégrité des données collectées, stockées et transmises par la machine, de limiter ces données au strict nécessaire, de concevoir tout appareil de manière à réduire au minimum sa surface d’attaque, de permettre à l’utilisateur d’effacer toutes les données et configurations s’il le souhaite, et enfin, de maintenir cette sécurité tout au long du cycle de vie du produit, pendant au moins cinq ans à compter de la date de  sa mise sur le marché. Plus qu’une question ponctuelle de conformité, c’est un véritable contrat de confiance à long terme entre fabricants, opérateurs et utilisateurs.

Des défis concrets à relever

Dans la réalité, de nombreuses entreprises peinent encore à répondre aux exigences de sécurité du CRA.

Il faut garantir l’identité, la protection et la traçabilité des appareils tout en prévenant le clonage et les compromissions cryptographiques. Tout doit débuter par une analyse de risques menée sur le produit concerné : Quelles menaces réalistes pèsent sur le produit et les services associés ? Pour chaque menace, quelles sont les attaques possibles ? Pour chaque attaque, quelles contre-mesures doivent être mises en place ?

S’il n’existe pas de solution miracle ou universelle, un ensemble de techniques, correctement mises en place, peut néanmoins permettre à chaque produit d’être corrigé et amélioré par logiciel, à moindre coût, tout au long de son cycle de vie :

  • Choisir des composants (processeur, secure element) implémentant des mécanismes de sécurité (racine de confiance, stockage sécurisé des clés, exécution des algorithmes cryptographiques, secure boot) ;
  • Dimensionner la mémoire de manière à anticiper la croissance de la taille du code embarqué et des patches correctifs, afin de permettre de futures mises à jour ;
  • Implémenter un démarrage sécurisé (secure boot) ainsi qu’un mécanisme de mise à jour sécurisé (à distance ou pas selon le cas d’usage) ;
  • Mettre en place une infrastructure à clés publiques (PKI) pour gérer les certificats X.509 des serveurs de back-end, de mise à jour, des clés de signature de code et le cas échéant des identités du produit lui-même ;
  • Déployer une infrastructure de signature de code intégrée au pipe-line et aux outils des développeurs, tout en garantissant la sécurité des clés de signature, la définition d’une politique dynamique d’accès à ses clés (par usage, par utilisateur) et la capacité d’auditer le système à tout moment ;
  • Sécuriser la production du produit, en particulier les étapes de personnalisation pendant lesquelles les clés et certificats sont générés et injectés, que la production soit externalisée à l’autre bout du monde ou effectuée localement ;
  • Maintenir une SBOM (Software Bill of Materials) dynamique pour suivre tout au long de la vie du produit les librairies utilisées et leurs dépendances à d’autres, détecter le plus rapidement possible les vulnérabilités potentielles, évaluer leur impact et définir les actions correctives nécessaires.

Enfin, la gestion du cycle de vie des certificats - renouvellements, révocations, surveillance - repose encore trop souvent sur des processus manuels et fragiles, sources d’erreurs et de vulnérabilités. Un simple oubli de renouvellement peut entraîner une interruption critique de service, voire compromettre la sécurité de tout un réseau. Relever ces défis est essentiel, non seulement pour se conformer au CRA, mais surtout pour instaurer une confiance numérique durable et évolutive à l’échelle des écosystèmes IoT et industriels.

Les trois fondements de la résilience

Pour construire une cyber-résiliente évolutive, les entreprises doivent s’appuyer sur trois leviers essentiels. Le premier repose sur l’identité numérique de confiance. Basée sur une PKI robuste, elle garantit l’authentification des appareils et le chiffrement des communications. Les certificats numériques permettent une intégration sécurisée et attribuent à chaque appareil une identité unique, véritable socle de la confiance. Des certificats de création, d’adhésion et de plateforme assurent la sécurité à chaque étape du cycle de vie, tandis que la signature de code renforce la fiabilité des firmwares et logiciels.  

Le second pilier concerne la gestion du cycle de vie des certificats (CLM). Sans visibilité, ni automatisation, les certificats peuvent rapidement devenir une bombe à retardement. Les solutions de CLM centralisent et de sécurisent la gestion des identités numériques tout en automatisant les alertes d’expiration, les renouvellements, les révocations et les audits. Cette approche réduit les interruptions et les erreurs humaines et permet de conserver un contrôle cryptographique total sur les actifs numériques.

Enfin, le troisième levier est l’orchestration sécurisée et évolutive des appareils, qui repose sur le provisionnement sans intervention (zero-touch provisioning) et l’émission tardive de certificats afin d’éviter l’expédition d’appareils avec des identifiants expirés. Cette méthode offre une visibilité en temps réel sur les opérations via les métadonnées des appareils et des applications, tout en renforçant la chaîne d'approvisionnement logicielle via des contrôles automatisés et à l'analyse des risques. Enfin, elle s’intègre naturellement avec les systèmes existants (brownfield ou greenfield) et s’appuie sur les capacités d’analyse de SCADA, SIEM et AI/ML pour rendre la confiance numérique pleinement opérationnelle.

Le CRA ne se contente pas d’imposer des obligations : il constitue une opportunité de modernisation intelligente. En combinant des plateformes PKI, des outils d’automatisation et une orchestration sécurisée, les entreprises peuvent renforcer leur sécurité, anticiper les risques, améliorer la confiance des clients et leur performance opérationnelle. Il convient d’agir maintenant. Attendre que les vulnérabilités ou les écarts de conformité deviennent visibles, c’est mettre en péril la continuité de l’activité. La cyber-résilience n’est plus une option technique, elle devient un levier stratégique de performance et de croissance durable.