Intégrer le DevSecOps pour vous conformer au Cyber Resilience Act
Le contexte réglementaire européen
Depuis quelques années, on observe une véritable effervescence sur les scènes géopolitiques et économiques autour des enjeux liés à la cybersécurité et leurs conséquences. La mise en lumière de ces questions cruciales pour nos organisations ont conduit les pouvoirs européens à initier une dynamique de sécurisation des acteurs considérés comme critiques pour l’Europe. Cette stratégie s’est concrétisée par la publication de divers rapports sur la menace cyber mais également par la rédaction de règlements européens contraignants. Ces textes ont pour objectif de définir les orientations en matière de cybersécurité afin de rehausser le niveau de maturité et de protection des sociétés face aux risques systémiques (règlementations NIS 2 et DORA).
Ainsi, l’année 2024 est marquée par la publication de plusieurs textes majeurs notamment les transpositions nationales de la directive NIS 2 (Network Information Security) et le règlement Cyber Resilience Act (CRA). Les transpositions visent à communiquer les exigences techniques nationales à respecter afin de sécuriser les systèmes des entreprises essentielles et critiques du territoire européen. Le CRA vient quant à lui en appui de la directive NIS 2 et du règlement DORA (Digital Operational Resilience Act) publié en 2022 à destination des institutions financières et bancaires.
En effet, malgré le périmètre assez large de DORA et de NIS 2, le parti pris de l’Europe a été de définir dans ces règlements des contraintes stratégiques spécifiques. Par exemple, dans la transposition française de la directive NIS 2, l’objectif de sécurité n°4 concernant la maitrise de la chaîne d’approvisionnement requiert la liste des fournisseurs intervenant dans l’écosystème de l’entité.
Focus sur la règlementation Cyber Resilience Act (CRA) et ses enjeux
Ceci n’est plus le cas avec le CRA qui cible les fabricants, les distributeurs, les importateurs et les éditeurs de produits incluant des éléments numériques à destination du marché européen. Ce nouveau texte impose des exigences majeures aux fabricants afin de garantir la sécurité, notamment par l’établissement d’une approche dite de « Security by design » définissant 45 exigences globales dont 17 pouvant être traitées par l’approche DevSecOps.
Suite à sa validation par la commission européenne en octobre 2024 et sa publication au Journal Officiel, les entreprises concernées auront entre 12 et 24 mois, en fonction de la criticité des équipements, pour se mettre en conformité.
Le respect des exigences du CRA et l’obtention du label CE auront pour bénéfice de renforcer la crédibilité et la sécurité des produits numériques ainsi certifiés. En adoptant le CRA, l’enjeu est de démontrer auprès des clients un engagement de gestion sécurisée et durable des produits développés et ce tout au long de leur cycle de vie. La mise en conformité permettra d’anticiper les futures exigences sur la chaîne d'approvisionnement. Ainsi, les entreprises concernées seront à même de se prémunir contre des possibles sanctions et de s’assurer de la pérennité de l’autorisation de commercialisation sur le marché européen.
Le DevSecops : une approche structurante permettant de faire face à ces nouvelles exigences
Face à ces réglementations toujours plus exigeantes, des méthodologies doivent être déployées pour associer conformité et efficience opérationnelle. Parmi les solutions, le DevSecOps s’impose comme une approche clé pour intégrer la sécurité tout au long du cycle de vie du produit.
Néanmoins, son succès réside dans la réalisation préalable des premières phases d’une analyse de risques. Ces activités vont permettre d’identifier les menaces spécifiques, les vulnérabilités potentielles et les enjeux, non seulement en termes de conformité mais aussi pour le produit lui-même.
En s’appuyant sur les orientations issues de l’analyse de risques, l’approche DevSecOps peut être déployée efficacement avec des exigences de sécurité intégrées dès la phase de conception, des processus de validation rigoureux et une gestion proactive des vulnérabilités.
Ce cadre structuré garantit non seulement une conformité au CRA mais permet également de renforcer la résilience des produits face aux cyber menaces de plus en plus importantes. Ce renforcement va également indirectement jouer sur la compétitivité des produits qui seront à terme plébiscités par les entreprises européennes.
Les exigences du Cyber Resilience Act
L’annexe I proposée par le règlement CRA liste les exigences devant être appliquées aux produits comportant des éléments numériques. Ces exigences relatives aux propriétés des produits, au nombre de 13, représentent les points d’attention à intégrer lors de leur construction. Ces exigences peuvent être résumées comme suit :
Références | Exigences |
I.1.1 | Mettre en place du Security by Design tout au long du cycle de vie du produit pour garantir un niveau de sécurité approprié en fonction des risques |
I.1.2 | Aucune vulnérabilité exploitable connue ne doit être présente à la livraison d’un produit |
I.1.3.a | La configuration proposée par défaut sur un produit doit être sécurisée |
I.1.3.b | Protéger les produits contre les accès non autorisés |
I.1.3.c | Protéger la confidentialité des données (stockage, transit, traitement) |
I.1.3.d | Protéger l’intégrité des données (stockage, transit, traitement) |
I.1.3.e | Ne traiter que les données nécessaires à l’utilisation du produit |
I.1.3.f | Protéger la disponibilité des fonctions essentielles du produit |
I.1.3.g | Limiter les effets négatifs sur la disponibilité d’autres dispositifs |
I.1.3.h | Limiter la surface d’attaque |
I.1.3.i | Penser le produit pour limiter les conséquences d’un incident ou de l’exploitation d’une vulnérabilité |
I.1.3.j | Mettre en place du logging pour surveiller les fonctions internes sensibles |
I.1.3.k | Prévoir un mécanisme de mise à jour pour corriger les vulnérabilités |
La suite de l'annexe présente 8 exigences relatives à la gestion des vulnérabilités devant être mises en place :
Références | Exigences |
I.2.1 | Lister et documenter les composants et vulnérabilités du produit |
I.2.2 | Traiter sans délai les nouvelles vulnérabilités |
I.2.3 | Réaliser régulièrement des tests de sécurité |
I.2.4 | Fournir des mises à jour et communiquer sur les vulnérabilités présentes |
I.2.5 | Mettre en place et appliquer une politique de divulgation coordonnée des vulnérabilités |
I.2.6 | Permettre à un tiers de remonter facilement une vulnérabilité |
I.2.7 | Prévoir un mécanisme de distribution sécurisé des mises à jour |
I.2.8 | Accompagner l’utilisateur à l’application des mises à jour de sécurité |
D’autres annexes du règlement listent les exigences liées aux informations à fournir aux utilisateurs, à la déclaration de conformité ou encore au contenu de la documentation à produire. Ces éléments ne sont pas directement pris en charge par les activités proposées par le DevSecOps et seront à adresser au travers d’un accompagnement d’experts en Gouvernance, Risques et Conformité.
Les prérequis de cette règlementation CRA
Pour répondre aux exigences de l’annexe I, il est essentiel de disposer de solides fondations. Cela passe par de la sensibilisation, la formation des collaborateurs et la mise à disposition d’une boîte à outils nécessaire pour intégrer sereinement la sécurité. La seule compétence technique ne suffit pas et doit être accompagnée d’une intégration de la sécurité dans les processus du cycle de développement logiciel (« Software Development Life Cycle » ou SDLC). Une fois ces prérequis satisfaits, un ensemble d’activités de sécurité peut être mis en place tout au long du cycle de vie du produit, dès les phases préliminaires.
Mise en place du CRA au sein de votre infrastucture
L’analyse de risques, mentionnée précédemment, est la première étape pour définir le niveau de sécurité et les points d’attention à prendre en compte.
Une fois réalisée, chaque étape du SDLC doit intégrer des activités de sécurité. Le but est de permettre de concevoir et de développer des produits numériques tout en garantissant un niveau de cybersécurité approprié en fonction des risques (Security By Design).
Parmi les activités de sécurité, intégrables dans le SDLC en amont de la phase de développement, il est possible de retrouver les éléments suivants (liste non exhaustive) :
- Définition des exigences de sécurité : définir le bon niveau de sécurité et fournir une liste des éléments à prendre en compte (disponibilité, intégrité, confidentialité notamment)
- Utilisation d’architectures de référence sécurisées : ne pas réinventer la roue mais capitaliser sur des architectures éprouvées (authentification, stockage des données, etc.)
- Mise en place d’un système de logs : définir quels types de logs doivent être stockés, les différents niveaux, la gestion de l’intégrité, etc.
- Threat modeling : se mettre dans la peau de l’attaquant et identifier les vulnérabilités sur l’architecture proposée
En phase de développement, les activités s’articulent autour de la mise en place et du suivi de bonnes pratiques en matière de développement sécurisé (nettoyage des entrées utilisateur, logs, etc.), des revues de code orientées sécurité et le déploiement d’outils de détection type SAST (Static Application Security Testing) ou SCA (Software Composition Analysis) directement dans les IDE (Integrated Development Environnement) pour détecter les vulnérabilités le plus tôt possible.
En complément des activités quotidiennes des développeurs, la mise en place d’une communauté de « Security Champions » est l’opportunité de capitaliser sur les travaux et problématiques de chacun.
Pour pouvoir réagir rapidement en cas de découverte d’une vulnérabilité et fournir une mise à jour aux clients, il est essentiel d’industrialiser et d’automatiser la chaîne de livraison. Cette chaîne, qui se situe entre la production du code et la livraison du produit ou de ses mises à jour, doit être automatisée au maximum.
Pour y parvenir, la mise en place d’une chaîne de CI/CD (Continuous Integration/Continuous Delivery) est indispensable. Elle inclut des tests assurant le bon fonctionnement de l’application (tests unitaires, tests de non-régression, etc.) associés à des tests de sécurité statiques (SAST, SCA) & dynamiques (DAST) qui permettent de construire et de mettre à disposition un livrable de qualité.
Afin de répondre aux exigences de documentation des composants du produit et des vulnérabilités associées, cette chaîne d’approvisionnement peut également intégrer une étape de génération de SBOM (Software Bill Of Material) pour les composants et d’y associer les informations issues de VEX (Vulnerability Exploitability eXchange) pour les vulnérabilités.
Ainsi, parmi les 21 exigences principales de l’annexe I du CRA, les activités liées au DevSecOps permettent d’en adresser 17.
Thales à vos côtés en matière d'accompagnement à la conformité au CRA via les offres ci-après :
Accompagnement à la conformité
- Identification de l’applicabilité de la réglementation au périmètre (classe I, II et critique)
- Déploiement d’une gouvernance opérationnelle pour assurer une conformité
durant le cycle de vie des actifs- Sécurité relative aux propriétés des produits
- Gestion des vulnérabilités
Analyse de risque
- Identification des risques inhérents à chaque produit pour adapter
la profondeur des activités du DevSecOps - Réalisation d’analyses basées sur des référentiels connus (e.g EBIOS RM, ISO 27005)
ou adaptés à vos besoins - Etablissement d’une vision homogène des risques sur l’intégralité des actifs commercialisés
DevSecOps
- Evaluation de maturité vis-à-vis des exigences du CRA
- Proposition d'une roadmap basée sur les 3 piliers : Humain, Processus et Technologie
permettant d'atteindre la conformité - Accompagnement à la mise en place des activités dans le cycle de vie des produits
Pourquoi faire appel à Thales ?
La conformité aux réglementations européennes telles que le CRA, DORA et NIS 2 est cruciale pour la sécurité de vos infrastructures critiques et la pérennité de vos activités. Nos experts en compliance et DevSecOps disposent de l’expertise combinée vous permettant de répondre aux besoins spécifiques du CRA en matière de conformité, vous aidant ainsi à naviguer dans ce paysage réglementaire européen parfois complexe.
Groupe industriel, nous combinons un savoir-faire dans la fabrication et la sécurité de produits avec la connaissance des normes et règlementations, permettant de transformer les défis réglementaires en opportunité de sécurité renforcée. S’appuyant sur un grand nombre de clients d’infrastructures critiques accompagnés dans leur processus de conformité, nous élaborons un accompagnement sur mesure qui garantit la sécurité opérationnelle tout en respectant les exigences réglementaires.
