Services

Se protéger des cybermenaces

Évaluez votre exposition aux risques cyber et renforcez le niveau sécuritaire de vos produits/solutions actuels et futurs. AKTANTIS vous propose des accompagnements stratégiques calibrés selon vos besoins.

Security By Design

SECURITY BY DESIGN : concevoir en intégrant la sécurité

La numérisation de l’économie est engagée depuis de nombreuses années et est amenée à s’accélérer dans les prochaines décennies notamment dans le secteur industriel. Cette numérisation entraine cependant de nouveaux risques et menaces sur les produits et processus industriels.

En effet, l’intégration des technologies numériques (capteurs, IoT, Big Data, intelligence artificielle,…) crée des fragilités potentielles et de nouvelles possibilités d’agissements malveillants pouvant avoir des conséquences dommageables sur les produits et processus.

Il est donc essentiel que les offreurs de technologies numériques prennent en compte la sécurité de leurs produits et solutions dès la conception : c’est le principe de la « Security by Design ».

CHIFFRES CLÉS

 

Le Cyber Resilience Act (CRA) est entré en vigueur le 11 décembre 2024 et sa mise en œuvre sera progressive jusqu’en 2027

38,6 milliards d’appareils connectés attendus d’ici 2025 et 50 milliards d’ici 2030 (selon Strategy Analytics, étude 2019)

L’ANSSI observe une hausse de 15% du nombre d’incidents traités entre 2023 et 2024.

Les exigences essentielles du CRA se décomposent en deux parties :

  1. Les exigences en matière de cybersécurité des produits. Il s’agit ici du niveau de sécurité et des caractéristiques intrinsèques des produits ;
  2. Les exigences en matière de gestion des vulnérabilités. Il s’agit ici des mesures et des processus mis en œuvre par les fabricants.

LES 13 EXIGENCES EN CYBERSECURITE

Les produits doivent satisfaire à une liste de 13 exigences essentielles en matière de cybersécurité * :

  1. Être mis à disposition sur le marché sans vulnérabilité exploitable connue;
  2. Être mis à disposition sur le marché avec une configuration sécurisée par défaut, sauf accord contraire entre le fabricant et l’utilisateur professionnel pour un produit sur mesure, avec la possibilité de réinitialiser le produit à son état d’origine ;
  3. Garantir que les vulnérabilités peuvent être corrigées par des mises à jour de sécurité, y compris, le cas échéant, par des mises à jour de sécurité automatiques installées dans un délai approprié, activées par défaut, avec un système d’opt-out clair et facile à utiliser, en notifiant aux utilisateurs les mises à jour disponibles et en leur offrant la possibilité de les reporter temporairement ;
  4. Assurer la protection contre les accès non autorisés au moyen de mécanismes de contrôle appropriés, y compris mais sans s’y limiter, des systèmes d’authentification, de gestion de l’identité ou de l’accès, ainsi que signaler les éventuels accès non autorisés ;
  5. Protéger la confidentialité des données stockées, transmises ou traitées d’une autre manière, qu’elles soient personnelles ou autres, notamment en chiffrant les données pertinentes au repos ou en transit au moyen de mécanismes conformes à l’état de l’art, et en utilisant d’autres moyens techniques ;
  6. Protéger l’intégrité des données stockées, transmises ou traitées d’une autre manière, qu’elles soient personnelles ou autres, des commandes, des programmes et de la configuration contre toute manipulation ou modification non autorisée par l’utilisateur, ainsi que signaler les corruptions ;
  7. Ne traiter que des données, personnelles ou autres, qui sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité du produit (“minimisation des données”) ;
  8. Protéger la disponibilité des fonctions essentielles et basiques, y compris après un incident, notamment par des mesures de résilience et d’atténuation des attaques par déni de service (DDoS) ;
  9. Minimiser l’impact négatif des produits eux-mêmes ou des dispositifs connectés sur la disponibilité des services fournis par d’autres dispositifs ou réseaux ;
  10. Être conçus, développés et produits de manière à limiter les surfaces d’attaque, y compris les interfaces externes ;
  11. Être conçus, développés et produits de manière à réduire l’impact d’un incident à l’aide de mécanismes et de techniques d’atténuation de l’exploitation appropriés ;
  12. Fournir des informations relatives à la sécurité en enregistrant et/ou en surveillant l’activité interne pertinente, notamment l’accès aux données, services ou fonctions ou leur modification, avec un système d’opt-out pour l’utilisateur ;
  13. Donner la possibilité aux utilisateurs de supprimer de manière sûre, simple et permanente toutes les données et tous les paramètres et, lorsque ces données peuvent être transférées à d’autres produits ou systèmes, veiller à ce que cela se fasse de manière sécurisée.

*Source : Annexe I, Partie 1

LES 8 EXIGENCES DU CRA EN MATIERE DE GESTION DES VULNERABILITES

La deuxième partie des exigences essentielles du CRA concerne les obligations des fabricants en matière de gestion des vulnérabilités. Celles-ci sont tout aussi importantes que les exigences applicables aux produits, et leur mise en œuvre conditionne aussi la mise sur le marché.

Les fabricants d’un produit réglementé par le CRA doivent satisfaire aux 8 exigences de gestion des vulnérabilités suivantes* :

  1. Identifier et documenter les vulnérabilités et les composants contenus dans le produit, notamment en établissant une nomenclature logicielle – SBOM (Software Bill Of Materials) – dans un format couramment utilisé et lisible par une machine, couvrant au minimum les dépendances de premier niveau du produit ;
  2. En ce qui concerne les risques posés par les produits comportant des éléments numériques, remédier sans délai aux vulnérabilités, notamment en fournissant des mises à jour de sécurité. Lorsque cela est techniquement possible, les nouvelles mises à jour de sécurité sont fournies séparément des mises à jour de fonctionnalité ;
  3. Appliquer des tests et des examens efficaces et réguliers de la sécurité du produit ;
  4. Une fois qu’une mise à jour de sécurité a été mise à disposition, partager et divulguer publiquement des informations sur les vulnérabilités corrigées, y compris une description des vulnérabilités, des informations permettant aux utilisateurs d’identifier le produit affecté, les impacts des vulnérabilités, leur gravité et des informations claires et accessibles aidant les utilisateurs à remédier aux vulnérabilités. Dans des cas dûment justifiés, lorsque les fabricants considèrent que les risques de sécurité de la divulgation l’emportent sur les avantages en matière de sécurité, ils peuvent retarder la diffusion des informations concernant une vulnérabilité corrigée jusqu’à ce que les utilisateurs aient eu la possibilité d’appliquer le correctif correspondant ;
  5. Mettre en place et appliquer une politique de divulgation coordonnée des vulnérabilités (CVD pour Coordinated Vulnerability Disclosure) ;
  6. Prendre des mesures pour faciliter le partage d’informations sur les vulnérabilités potentielles de leur produit et des éléments tiers contenus dans ce produit, en fournissant notamment une adresse de contact pour le signalement des vulnérabilités découvertes ;
  7. Prévoir des mécanismes de distribution sécurisée des mises à jour des produits afin de garantir que les vulnérabilités sont corrigées ou atténuées en temps utile et, quand applicable, d’une manière automatique ;
  8. Veiller à ce que les mises à jour de sécurité disponibles soient diffusées sans délai (sauf accord contraire entre le fabricant et l’utilisateur professionnel dans le cas d’un produit sur mesure), gratuitement et accompagnées de messages informatifs fournissant aux utilisateurs les informations pertinentes, y compris sur les éventuelles mesures à prendre.

*Source : Annexe I, Partie 2

OBJECTIF COMMERCIALISATION : PRODUIRE UNE DOCUMENTATION TECHNIQUE EST ESSENTIEL

La production d’une documentation technique pour accompagner chaque produit est une condition sine qua non pour sa commercialisation en Europe.

  1. Une description générale du produit comportant des éléments numériques, notamment :
  • Son utilisation prévue ;
  • Les versions de logiciel ayant des incidences sur la conformité aux exigences essentielles ;
  • Lorsque le produit est un produit matériel, des photographies ou des illustrations montrant les caractéristiques extérieures, le marquage et la disposition intérieure ;
  • Les informations et instructions destinées à l’utilisateur (cf. Annexe II du CRA) ;

 

2. Une description de la conception, du développement et de la fabrication du produit et des processus de gestion des vulnérabilités, et notamment :

  • Les informations nécessaires sur la conception et le développement du produit, y compris, le cas échéant, des dessins et des schémas et/ou une description de l’architecture du système expliquant comment les composants logiciels s’appuient les uns sur les autres ou s’alimentent et s’intègrent dans le traitement global ;
  • Les informations et spécifications nécessaires concernant le processus de gestion des vulnérabilités mis en place par le fabricant, y compris la nomenclature des logiciels, la politique coordonnée de divulgation des vulnérabilités, la preuve de la fourniture d’une adresse de contact pour le signalement des vulnérabilités et une description des solutions techniques choisies pour la distribution sécurisée des mises à jour ;
  • Les informations et spécifications nécessaires concernant les processus de production et de suivi du produit, et la validation de ces processus;

3. Une évaluation des risques de cybersécurité sur la base de laquelle le produit est conçu, développé, produit, livré et entretenu, y compris la manière dont les exigences essentielles en matière de cybersécurité des produits sont applicables ;

4. Les informations qui ont été prises en compte pour déterminer la période de support (voir Chapitre 13) ;

5. Une liste des normes européennes harmonisées, des spécifications communes ou des schémas européens de certification de cybersécurité qui ont été appliqués ;

  • Lorsqu’ils n’ont pas été appliqués : une présentation des solutions adoptées pour répondre aux exigences essentielles du CRA, y compris une liste des autres spécifications techniques pertinentes appliquées.
  • Dans le cas d’une application partielle, la documentation technique précise les parties appliquées ;

6. Les rapports des tests réalisés pour vérifier la conformité du produit et des processus de gestion des vulnérabilités aux exigences essentielles du CRA ;

7. Une copie de la déclaration UE de conformité;

8. Le cas échéant, la nomenclature logicielle (Software Bill Of Materials) à la suite d’une demande motivée d’une autorité de surveillance du marché.

Cette documentation technique doit être tenue à la disposition des autorités de surveillance du marché pendant au moins 10 ans, ou pendant le reste de la durée de support, la durée la plus longue étant retenue.

Il est à noter que les micro-entreprises et les PME, y compris les startups, peuvent produire une documentation technique simplifiée en vertu de l’Article 33.5. Celui-ci dispose que la Commission européenne devra préciser les détails du formulaire simplifié au moyen d’actes délégués. Affaire à suivre donc.

L’ACCOMPAGNEMENT D’AKTANTIS :

  • Un Accompagnement individuel et personnalisé de 9 jours pour réaliser un état des lieux et élaborer un plan d’actions,
  • Un audit des points sensibles avec réalisation d’un rapport complet d’analyse,
  • Un plan d’actions détaillé et le conseil nécessaire pour sa mise en œuvre.

Plaquette détaillée >

CyberSécurité- technologie majeure de Aktantis

Préparation Certification Sécuritaire

CYBERSECURITE : ENGAGER UNE CERTIFICATION / CONFORMITE REGLEMENTAIRE

La certification de sécurité pour les produits, solutions et logiciels consiste à évaluer un produit selon des normes de cybersécurité spécifiques. Ce processus est aujourd’hui crucial pour garantir la protection des données et des systèmes face à une recrudescence des cybermenaces. La certification de sécurité participe également à l’accompagnement des entreprises à la recherche de solutions numériques sécurisées pour leurs usages stratégiques et sensibles. Elle permet enfin d’harmoniser les niveaux de sécurité des solutions et de participer à la création d’un système numérique de confiance.

Dans cet objectif de numérique de confiance, le règlement CRA, qui s’appliquera à la grande majorité des produits et logiciels sur le marché européen, vise à établir un cadre permettant de renforcer la sécurité de tout produit contenant un élément logiciel en Europe. D’autres règlements ou directives poursuivent le même but mais à l’échelle des organisations et pour des typologies d’entreprises spécifiques tels que NIS2 ou pour des secteurs d’activité précis comme DORA par exemple.

Pour vous aider à identifier et préparer votre certification sécuritaire, AKTANTIS vous accompagne et vous apporte :

 

Des informations de sensibilisation et de bonnes pratiques

Un accompagnement personnalisé spécialement destiné aux entreprises d’AKTANTIS

Les meilleurs experts en Cybersécurité et normes sécuritaires sélectionnés par AKTANTIS

Un co-financement public de la Région Sud-Provence-Alpes-Côte d’Azur

L’ACCOMPAGNEMENT D’AKTANTIS :

  • Accompagnement individuel de 9 jours
  • Audit des solutions existantes nécessitant une certification
  • Présentation des schémas de certification le cas échéant ou de la norme/règlement/directive pour mise en conformité.
  • Identification de la cible sécuritaire et les moyens à mettre en oeuvre ou les actions de mise en conformité.
  • Conseil et plan d’action pour les phases de préparation.

Plaquette détaillée >

Diagnostic Cyber-Défense

Entreprises duales ou de la Défense, évaluez la cybersécurité de votre entreprise en vue de votre conformité au référentiel de maturité de la DGA !

Mesure du plan ACTION PME du Ministère des Armées, le dispositif d’aide à la cyber-sécurisation vise à réduire les vulnérabilités numériques des PME et des ETI de l’industrie de Défense. Il permet à une entreprise bénéficiaire de se faire financer en partie ses frais de cyber-sécurisation.

Le Diagnostic Cyber-Défense

Ce diagnostic consiste en une prestation d’audit et de conseil, et éventuellement d’accompagnement à la mise en œuvre de recommandations.

Son action :

  • Identifier et analyser les risques numériques et de cybersécurité de l’entreprise,
  • Déterminer les mesures de sécurité adaptées à différents scénarios de menace,
  • Accompagner l’entreprise dans la mise en œuvre de ces mesures et d’une démarche d’amélioration continue et de suivi.

Bénéficiaires

Les PME – ETI françaises (au sens de la réglementation européenne), exerçant des activités liées au secteur de la Défense.

 

Demander un diagnostic

Sur ce Sujet

Voir toutes les news

Pour plus d’information sur la Certification Sécuritaire, contactez-nous

VOS CONTACTS

Stéphanie SCHOHN

Direction Écosystème

06 89 96 19 11
stephanie.schohn@aktantis.com