Le marché mondial de la cybersécurité était évalué à 167,13 milliards de dollars en 2020 et devrait croître de 10 % par an jusqu'en 2028. L'augmentation, la fréquence et la sophistication alarmantes des cyberattaques ces dernières années peuvent être imputées à la croissance du marché. Et avec ce besoin de contrer l'intensité de l'activité cybercriminelle par des mesures de cybersécurité avancées vient la demande de meilleurs cadres, processus et techniques.
En 2019, le règlement européen sur la cybersécurité (CSA) a été adopté, établissant un cadre de certification de cybersécurité pour tous les secteurs des « infrastructures critiques », y compris le développement de logiciels et les services d’externalisation informatique. Cependant, bien que ce cadre présente des avantages tels qu’une transparence et une confiance accrues pour les utilisateurs finaux, les organismes de certification, les fabricants et les fournisseurs de logiciels sont confrontés à des défis particuliers qui les empêchent d’adopter et de mettre en œuvre pleinement les nouvelles conditions. Voici dix défis que vous devez connaître en matière de certification de cybersécurité des logiciels :
- Il existe différents niveaux d'assurance pour la certification définis par le nouveau règlement CSA de l'Union européenne (UE) sur la cybersécurité que les organismes de certification et les fabricants doivent prendre en compte lors de la certification de leurs systèmes.
- Certains facteurs ont un impact sur la certification du système et de ses composants au cours de son cycle de vie, notamment les mises à jour logicielles et les principes de conception qui traitent des interrelations de ses composants.
- Les praticiens de la certification en cybersécurité, les fabricants de logiciels et les fournisseurs de logiciels doivent s'intéresser aux mises à jour et à la composabilité des logiciels, car ces aspects définissent la relation entre les différents niveaux de certification.
- Pour que les organisations permettent aux fournisseurs de logiciels de conserver le contrôle des systèmes, elles doivent développer et suivre des procédures coordonnées de divulgation des vulnérabilités (CVD).
- Étant donné qu'un système unique de technologies de l'information et de la communication (TIC) comprend divers composants et sous-systèmes, chaque module logiciel supplémentaire devra être certifié dans sa composition (le cas échéant) et à l'aide de niveaux d'assurance et de schémas de certification spécifiques.
- De nouveaux processus de certification ou de recertification peuvent être nécessaires lorsque certains modules ne sont pas valables pour la composition du système, comme du matériel ou des systèmes d'exploitation spécifiques.
- Des techniques automatisées et légères devraient être utilisées dans les processus de recertification pour réduire la réticence des fabricants et des fournisseurs de logiciels à mettre à jour régulièrement leurs systèmes en raison du temps et des coûts.
- La CSA encourage l’utilisation d’un référentiel de vulnérabilités pour favoriser la confiance dans les systèmes TIC, atténuer les attaques, promouvoir la coopération et la collaboration entre les parties prenantes et combler le fossé entre le secteur du logiciel et les organismes de certification.
- Le cadre CVD prend en charge le processus de divulgation des vulnérabilités, qui encourage les fabricants et les fournisseurs de logiciels à signaler et à publier les vulnérabilités et les processus de test. Le programme vise à accroître la transparence pour les utilisateurs finaux, à partager les informations sur la cybersécurité, à exposer les modèles de menaces et à aligner le développement de logiciels.
- Les technologies et plateformes émergentes, notamment la blockchain, l’IA, les systèmes 5G et l’informatique quantique, sont envisagées pour aider à aligner le processus de certification de cybersécurité et les activités de développement de logiciels.
Bien que la CSA vise à créer un cadre unifié pour harmoniser la certification de cybersécurité, les fabricants et les développeurs de logiciels tout en augmentant la confiance des utilisateurs finaux, certaines hésitations subsistent. Étant donné que les intentions de la loi sont au bénéfice de toutes les parties prenantes, une sensibilisation accrue à ces facteurs est essentielle pour favoriser l’adoption.
Si vous souhaitez en savoir plus sur la certification en cybersécurité, nous vous encourageons à vous rapprocher d' experts spécialisés dans le domaine et à suivre une formation adapté à votre profil et à votre activité.