Acte sur la Cyber-Résilience de l'UE : Devoirs des Fabricants et Comment Assurer la Conformité à l'aide d'un SBOM

Principales obligations des fabricants dans le cadre de l’Acte sur la Cyber-Résilience de l’UE (CRA)

Le CRA définit un ensemble complet d’obligations en matière de cybersécurité pour les fabricants qui s’étendent sur l’ensemble du cycle de vie des produits numériques.

Examinons les principales exigences.

Conception et développement de produits sécurisés

Les fabricants doivent s’assurer que les produits sont conçus et développés avec la cybersécurité à l’esprit. Cela implique :

• d’intégrer des fonctionnalités de sécurité lors de la conception du produit,
• de traiter proactivement les vulnérabilités connues,
• d’assurer la sécurité des composants logiciels et matériels.

Conseil de conformité : les fabricants doivent adopter des pratiques de développement sécurisé et intégrer les principes de sécurité dès le début du processus de développement.

Gestion et signalement des vulnérabilités

Les fabricants doivent établir des procédures pour gérer et atténuer les vulnérabilités des produits, tant avant qu’après leur mise sur le marché. Cela comprend :

• l’identification des vulnérabilités en temps réel,
• la mise en œuvre de correctifs ou de mises à jour pour atténuer les risques,
• le signalement des vulnérabilités majeures aux autorités compétentes et aux utilisateurs.

Conseil de conformité : un cadre de gestion des vulnérabilités robuste est essentiel, ainsi que des mécanismes de surveillance continue et d’action rapide en cas de découverte d’une faille de sécurité.

Surveillance post-marché et réponse aux incidents

Une fois le produit sur le marché, les fabricants doivent :

• surveiller en continu les performances en matière de cybersécurité du produit,
• avoir un plan pour répondre aux incidents et atténuer leur impact,
• fournir des mises à jour de sécurité tout au long du cycle de vie prévu du produit.

Conseil de conformité : un mécanisme efficace de réponse aux incidents doit être en place pour gérer les éventuelles violations ou cyberattaques et réduire les délais de réponse.

Transparence et documentation

Les fabricants doivent garantir la transparence concernant la posture de sécurité de leurs produits en :

• fournissant une documentation de sécurité détaillée, y compris comment configurer le produit en toute sécurité,
• offrant aux utilisateurs des conseils clairs sur l’utilisation du produit et les risques potentiels.

Conseil de conformité : la transparence va au-delà des spécifications techniques; elle inclut des explications conviviales des fonctionnalités de sécurité, des risques et des conseils pour une utilisation en toute sécurité.

Évaluation de la conformité et marquage CE

Avant d’être mis sur le marché, les produits doivent passer par des évaluations de conformité pour démontrer leur conformité aux exigences en matière de cybersécurité. Les produits qui réussissent ces évaluations recevront le marquage CE, indiquant leur conformité aux normes de l’UE.

Conseil de conformité : les fabricants doivent maintenir une documentation exhaustive prouvant l’adhésion de leur produit aux normes de sécurité pour les audits réglementaires.

Comment un SBOM et Dependency Track SaaS aident les fabricants à se conformer au CRA

Le CRA introduit un ensemble complexe d’exigences en matière de cybersécurité. Gérer cela efficacement, en particulier pour les produits comportant plusieurs composants logiciels, peut être un défi. Un Software Bill of Materials (SBOM) et des outils comme Dependency Track SaaS et des informations VEX (Vulnerability Exploitability eXchange) peuvent aider les fabricants à répondre à leurs obligations.

Qu’est-ce qu’un SBOM ?

Un SBOM (Software Bill of Materials) est une liste détaillée de tous les composants, bibliothèques et dépendances utilisés dans un produit logiciel. Il fournit de la transparence concernant les éléments constitutifs d’un produit, permettant aux fabricants de :

• suivre les composants open-source et tiers,
• identifier les vulnérabilités dans ces composants,
• s’assurer que tous les composants sont à jour avec les correctifs de sécurité.

Pourquoi le SBOM est-il crucial pour la conformité au CRA ?

Le SBOM permet aux fabricants de suivre chaque composant de leur logiciel. En connaissant les bibliothèques et dépendances tierces utilisées, les fabricants peuvent rapidement identifier les vulnérabilités (par exemple, si un composant a une CVE connue) et appliquer des correctifs rapidement.

Les SBOM permettent aux fabricants de fournir des informations détaillées sur les composants logiciels aux régulateurs, utilisateurs et parties prenantes. Cette transparence est essentielle pour répondre aux exigences du CRA en matière de documentation et d’évaluations de conformité.

En cas d’incident de sécurité, un SBOM permet aux fabricants de déterminer rapidement quels composants sont affectés et de prendre des mesures. Cela aide à répondre à l’obligation du CRA en matière de surveillance post-marché et de réponse rapide aux incidents.

Qu’est-ce que Dependency Track SaaS ?

Dependency Track est une solution cloud basée sur la plateforme open-source primée Dependency-Track, développée par la communauté OWASP. Elle est conçue pour aider les organisations à surveiller et gérer la sécurité de leurs composants logiciels en automatisant le suivi des vulnérabilités sur toutes les dépendances et en s’intégrant parfaitement avec les SBOM, fournissant ainsi des informations en temps réel sur les risques potentiels.

Comment Dependency Track SaaS soutient la conformité au CRA

Surveillance continue des vulnérabilités logicielles

Dependency Track SaaS surveille en permanence les vulnérabilités en temps réel et alerte les fabricants lorsque l’une des dépendances de leur produit est affectée par une nouvelle vulnérabilité. Cela aide à satisfaire à l’exigence du CRA en matière de gestion proactive des vulnérabilités et de correctifs immédiats.

Analyse des risques des composants

Dependency Track SaaS fournit des informations détaillées sur le profil de risque de chaque composant logiciel, permettant aux fabricants d’évaluer la posture de sécurité de leur produit à tout moment. Cela les aide également dans le processus de prise de décision concernant la mise à jour ou le remplacement d’un composant particulier.

Incorporation des informations VEX

En intégrant les informations VEX (Vulnerability Exploitability eXchange), Dependency Track SaaS offre une analyse plus approfondie des vulnérabilités identifiées. Les données VEX fournissent des détails sur la manière dont une vulnérabilité peut être exploitée, ce qui permet aux fabricants de mieux prioriser les correctifs en fonction du niveau de risque d’exploitation, renforçant ainsi la sécurité et la conformité au CRA.

Automatisation et efficacité

Gérer les vulnérabilités manuellement dans des produits logiciels complexes et volumineux peut prendre du temps et être sujet à des erreurs. Dependency Track SaaS automatise le processus de scan des vulnérabilités, aidant les fabricants à rationaliser leurs efforts de conformité et à maintenir des pratiques de cybersécurité à jour avec un minimum de frais généraux.

Conclusion

L’Acte sur la Cyber-Résilience de l’UE est un règlement clé qui impose des responsabilités significatives en matière de cybersécurité aux fabricants de produits numériques. Pour se conformer, les fabricants doivent adopter la sécurité par conception, mettre en œuvre des processus robustes de gestion des vulnérabilités et garantir la transparence concernant les composants des produits.

Un SBOM, associé à des outils comme Dependency Track SaaS, et l’intégration des informations VEX, peut aider les fabricants à maintenir une vue claire des composants utilisés dans leurs produits, à suivre et résoudre les vulnérabilités plus efficacement et à fournir la transparence et les garanties de sécurité exigées par le CRA. En intégrant ces outils, les fabricants peuvent non seulement se conformer au CRA, mais aussi renforcer leur posture de sécurité globale, protégeant ainsi à la fois les utilisateurs et l’écosystème numérique au sens large.