Fabricants IoT, comment anticiper le Cyber Resilience Act ?
Pour les fabricants et fournisseurs IoT, le Cyber Resilience Act (CRA), ce nouveau règlement européen visant à renforcer la sécurité des objets connectés, va devenir incontournable. Lancé par une consultation de la Commission européenne au printemps 2022, le CRA est encore discuté au Parlement européen. "Il concerne les produits hardware BtoB et BtoC en dehors des objets connectés de santé", précise Alexandre Diehl, avocat au sein du cabinet Lawint, lors d'un webinar organisé par le think tank GR-IoT sur le sujet. Son entrée en vigueur n'est pas immédiate, mais les intéressés commencent dès à présent à anticiper le texte.
Avec pour ambition de développer des produits hardwares sûrs, le CRA va avant tout favoriser la sécurité par défaut (by design). Les nouveaux objets connectés doivent intégrer des pratiques de chiffrement et d'authentification, mais aussi des clés de sécurité. "Il faut le prendre en compte dès la conception car cela requiert plus d'énergie", souligne Christophe Gueguen, associate partner au sein du cabinet de conseil Magellan Partners. "La tendance que nous observons sur le marché est de comprendre comment sécuriser des objets connectés à large échelle. Pour l'IoT, les méthodes IT classiques ne fonctionnent pas", note Chris Dobrec, VP product and industry solutions chez l'éditeur de cybersécurité Armis. Pour répondre à ce besoin de protection des données par chiffrement et de propriété intellectuelle (et donc l'IP des objets connectés pendant leur supply chain), Quarkslab a présenté à l'IoT Solutions World Congress à Barcelone QShield, une solution développée sur les puces de STMicroelectronics. Un partenariat avec l'éditeur Mender a également été conclu.
"Il faut une plateforme pour maintenir les objets déjà déployés dans la nature"
Pour les objets connectés déjà déployés sur le terrain, leur sécurisation va passer par une mise à jour logicielle. "Nous encourageons nos clients à avoir une bonne visibilité des parcs d'objets qu'ils ont déjà sur le terrain et de leur environnement", indique Chris Dobrec, chez Armis. "Les faire évoluer n'est pas simple, cela a un coût et cela demande des changements de philosophie plus ou moins fort selon les acteurs", met en garde Christophe Gueguen, chez Magellan Partners. Stéphane Henry, executive vice president of Research and Development chez le groupe Lacroix, pointe les évolutions logicielles, en préconisant l'embauche d'ingénieurs en cybersécurité : "Il faut une plateforme pour maintenir les objets déjà déployés dans la nature. Si l'un des applicatifs Linux d'une passerelle évolue sans que cela soit pris en compte, cela peut empêcher tout le système de fonctionner."
Une sécurité by design pour plus de transparence
Le conseil phare des acteurs interrogés est de veiller à la pédagogie des utilisateurs finaux. A ce propos, Alexandre Chaverot, PDG d'Avidsen, fabricant français, raconte la mésaventure que l'entreprise a rencontrée : "Nous avons relocalisé la production de notre sous-traitant asiatique et nous nous sommes aperçus que l'un de nos portiers vidéo était sécurisé par un mot de passe par défaut seulement, ce qui est à éviter. Nous avons effectué une mise à jour pour lui assurer la meilleure sécurité qu'il soit en l'indiquant par message à nos clients. Devoir du jour au lendemain enregistrer un mot de passe avec des chiffres et des caractères spéciaux a été perçu comme une contrainte trop importante et nous avons eu des commentaires incendiaires. Cela montre bien que si la sécurité est intégrée by design, elle sera transparente. Si la pédagogie auprès des clients n'est pas suffisante, la sécurité ne sera pas acceptée. " Une analyse confirmée chez Magellan Partners par Christophe Gueguen : "Il faut bien réfléchir à la documentation apportée aux clients pour leur expliquer ce qui est fait car la sécurité est souvent perçue comme une contrainte." La pédagogie est justement le deuxième pilier du CRA.
L'avantage de cette sécurisation tient dans "l'augmentation de la durée de vie des équipements par leur maintenance", se réjouit Stéphane Henry. Chez Avidsen, la sécurité est devenue un argument commercial pour s'imposer sur le marché. Pour beaucoup, le CRA est l'occasion de rappeler que toute entreprise est concernée par la cybersécurité. "Nous sommes tous vulnérables, il faut l'assumer", soutient Alexandre Chaverot, PDG d'Avidsen, attentif à la notion de territorialité pour que les règles s'appliquent à tous les fournisseurs. "En Europe, la responsabilité incombera à l'importateur", ajoute de son côté Alexandre Diehl.
Un projet de cybersécurité requiert au moins entre six mois et un an de travaux
Les projets doivent être "lancés dès à présent, avant même l'application des textes car la sécurité est un cycle long, le sujet doit être pris en compte de manière hétérogène sur différentes composantes", rappelle Christophe Gueguen, chez Magellan Partners, pour qui la prise de conscience est renforcée par "les cyberattaques récentes et la pression du marché, la sécurité étant devenue une exigence des commanditaires". Un projet de cybersécurité requiert au moins "entre six mois et un an de travaux", assure Michele Sartori, ingénieur chez Quarkslab.
Avec le CRA, la sécurité de l'IoT élargit son périmètre. "Il y a déjà la norme EN 303 645 pour les objets connectés du grand public", rappelle Alexandre Diehl. Les objets industriels font aussi l'objet de normes spécifiques. "Le Cyber Resilience Act est un gros sujet que nous suivons mais nos équipes se focalisent sur la sécurité depuis une dizaine d'années. Nous embarquons la connectivité à nos chariots, tout en veillant à la conformité avec les nouvelles normes électriques, les normes CE et celles de conception", explique Yannick Antoine, directeur des solutions intralogistiques chez Toyota Material Handling France. Constat similaire chez le groupe Lacroix : "Les produits de Lacroix servent à faire fonctionner des infrastructures et réseaux, des règles précises sont déjà en place", indique Stéphane Henry, executive vice president of Research and Development. Ce nouveau règlement européen ne représente ainsi non pas une épreuve pour les acteurs mais un rappel des pratiques à mettre en œuvre.