La cybersécurité est devenue l’un des défis majeurs de notre ère numérique. Le nombre d’appareils connectés devrait dépasser les 29 milliards d’ici 2030. Il est donc essentiel de garantir une conformité et une certification de sécurité solides pour ces appareils. Les dommages liés à la cybercriminalité devraient atteindre le chiffre stupéfiant de 10 500 milliards de dollars par an d’ici 2025. Le projet CUSTODES, une initiative cofinancée par l’UE qui rassemble des acteurs de premier plan du secteur, des chercheurs et des décideurs politiques pour remodeler le paysage de la certification de la cybersécurité, vise à relever ce défi croissant.

Qu'est-ce que le projet CUSTODES ?
Le projet CUSTODES , qui se déroulera d'octobre 2023 à septembre 2026, vise à développer des capacités d'évaluation de la conformité en matière de cybersécurité rentables, agiles et harmonisées pour les produits et services TIC composites. Son ambition est d'améliorer les processus de certification dans toute l'Europe en mettant l'accent sur la fiabilité, la sécurité et l'évaluation continue.
Le projet implique 16 partenaires de 11 pays, classés par ordre alphabétique, dont :
- AEGIS IT Research GmbH
- Airbus
- CEFRIEL
- Cybernétique
- DEKRA SE
- Alliance numérique des PME
- Institut de gestion de la sécurité intérieure (ISMB)
- Montimage
- Laboratoires d'alerte rouge
- Instituts de recherche RISE de Suède AB
- TNO
- TÜV Rheinland
- Université Polytechnique de Madrid
- et d’autres acteurs importants dans le domaine.
Cette solide collaboration garantit que le projet bénéficie d’une gamme diversifiée d’expertises et de perspectives, répondant aux besoins des fabricants, des régulateurs et des utilisateurs finaux.
Les éléments constitutifs de CUSTODES
Le cadre CUSTODES s'articule autour d'un système intégré d'inspection et de certification composite (CIC) , conçu pour s'aligner sur le cadre de certification de cybersécurité de l'UE. Ce système combine les principes clés de gestion des risques (ISO/IEC 27001 et ISO/IEC 27005), les tests, l'inspection et la certification , en adhérant aux normes mondiales telles que ISO/IEC 15408 et ISO/IEC 18045 .
Le système CIC se compose de six éléments principaux, qui fournissent collectivement une approche globale de la certification en cybersécurité :
- Évaluation dynamique des risques (DRA) : offre une méthodologie harmonisée basée sur les risques pour identifier les objectifs de sécurité, générer des profils de sécurité (SP) et évaluer les risques pour les cibles d'évaluation composites (TOE).
- Processus d'évaluation de la conformité des composites (CCAP) : met en œuvre un processus de certification modulaire, prenant en charge la réutilisation de « blocs de construction » certifiés pour les produits composites tout en garantissant que leur intégration répond à des normes de sécurité rigoureuses.
- Environnement d'exécution restreinte et fiable (RTE) : établit des environnements sécurisés pour les évaluations de conformité, permettant des tests, des inspections et une auto-évaluation fiables pendant le développement du produit et au-delà. Cet environnement protège également la propriété intellectuelle et les secrets commerciaux.
- Audit de sécurité/Test de sécurité (SA/ST) : intègre des outils d'audit avancés pour découvrir les vulnérabilités et tester la résilience contre une variété de cybermenaces, garantissant que les produits répondent aux exigences de niveau d'assurance.
- Découverte de certificats (CerDisc) : facilite la découverte et la réutilisation des certifications existantes, améliorant ainsi la transparence et l'interopérabilité entre les parties prenantes.
- Partage de certification (CertS) : favorise la collaboration en permettant le partage sécurisé des informations liées à la certification, y compris les vulnérabilités et les risques identifiés, entre les parties prenantes.
Ces composants fonctionnent en tandem pour créer un système CIC multi-facettes, capable de gérer les cyber-risques, d'évaluer les réclamations de sécurité et de vérifier la conformité sur la base de preuves fiables et de résultats de certification réutilisables. Cette approche interconnectée garantit l'adaptabilité et la résilience tout au long du cycle de vie d'un produit.
Plongée en profondeur dans le CCAP
Parmi les différents éléments du référentiel CUSTODES, le processus d'évaluation de la conformité composite (CCAP) se distingue par son approche modulaire et innovante de la certification des produits TIC composites. En permettant la réutilisation de « blocs de construction » déjà certifiés, le CCAP simplifie le processus de certification, réduisant ainsi les délais et les coûts tout en maintenant des normes de sécurité rigoureuses.
L' approche Target of Evaluation for Composite (TOE-C) garantit que les composants individuels et leur intégration au sein d'un produit répondent à des exigences de sécurité rigoureuses. Cela est particulièrement utile dans les secteurs où les produits sont constitués de plusieurs systèmes interconnectés, tels que les appareils IoT. La méthodologie TOE-C évalue non seulement la sécurité autonome des blocs de construction, mais également les interactions entre eux, garantissant ainsi la sécurité globale du produit composite.
Laboratoires d'alerte rouge joue un rôle central dans le développement et la mise en œuvre du composant CCAP, en s'appuyant sur des années d'expertise et de R&D grâce à son CyberPass Plateforme . Cette plateforme est spécialisée dans l'évaluation de la conformité, offrant des outils automatisés qui génèrent un score de conformité final pour déterminer si un produit réussit ou échoue le processus d'évaluation. Ces fonctionnalités permettent aux organisations de surveiller et d'améliorer en permanence leur posture de cybersécurité.
En plus de son expertise en méthodologies de certification, le laboratoire d'évaluation de Red Alert Labs sera utilisé pour soutenir les aspects de test du CCAP. Le laboratoire est équipé d'outils avancés, permettant des tests approfondis et fiables des produits composites. Cet environnement de test garantit que le CCAP facilite non seulement les processus de certification efficaces, mais maintient également les plus hauts niveaux de qualité et de confiance dans ses évaluations.
Avantages du projet CUSTODES
L'impact de CUSTODES va bien au-delà de chaque composant individuel. En combinant son approche modulaire avec des outils et des processus de pointe, le projet offre des avantages tangibles à un large éventail de parties prenantes :
- Secteur des TIC : les processus de certification rationalisés permettent de gagner du temps et de réduire les coûts, aidant ainsi les entreprises à commercialiser plus rapidement des produits sécurisés.
- Conformité réglementaire : l'alignement sur des normes reconnues mondialement telles que les Critères communs (ISO/IEC 15408), le système européen de certification de cybersécurité basé sur les Critères communs (EUCC) et le Cybersecurity Act (CSA) pour les niveaux d'assurance simplifie le respect de la réglementation.
- Consommateurs : les mesures de sécurité renforcées améliorent la confiance dans les appareils connectés, corrigeant ainsi les vulnérabilités critiques.
- Organismes de normalisation : une collaboration étroite favorise l’innovation et établit des cadres qui peuvent être largement adoptés.
Impacts plus larges de CUSTODES
Les résultats du projet sont conçus pour avoir des impacts durables sur la cybersécurité :
- Pour les professionnels des TIC : Développement de schémas de certification agiles et de capacités d’auto-évaluation améliorées.
- Pour les décideurs politiques : informations sur les lacunes réglementaires et soutien aux modèles de certification basés sur les risques.
- Pour la communauté scientifique : de nouvelles connaissances du domaine et des architectures de référence pour des recherches ultérieures.
- Pour les consommateurs : une sensibilisation accrue à la valeur de la certification en cybersécurité et à son rôle dans la protection des produits connectés.
En établissant un écosystème de confiance , CUSTODES garantit que les processus de certification sont non seulement efficaces mais également adaptables aux défis futurs.
Pourquoi cela est important pour vous
Le projet CUSTODES ouvre la voie à une approche plus sûre et plus efficace de la certification en matière de cybersécurité à une époque où les appareils connectés font partie intégrante de notre vie quotidienne. Son cadre complet, ses composants innovants tels que le processus d'évaluation de la conformité composite (CCAP) et les efforts collaboratifs de divers partenaires reflètent l'importance d'une vision unifiée pour relever les défis modernes de la cybersécurité.
L'innovation clé de CUSTODES réside dans son approche d'évaluation de la composition , une caractéristique essentielle du CCAP. Cette méthodologie évalue non seulement les composants individuels, mais également leurs interactions et leur intégration au sein d'un produit composite, garantissant ainsi que même les systèmes complexes répondent à des normes de sécurité rigoureuses. En permettant la réutilisation de blocs de construction certifiés et en évaluant les produits composites de manière globale, CUSTODES offre une solution évolutive et efficace pour gérer les risques de cybersécurité dans le paysage interconnecté d'aujourd'hui.
En harmonisant les processus de certification, en améliorant la conformité aux normes mondiales telles que les Critères Communs et l'EUCC, et en favorisant la confiance entre les industries et les consommateurs, CUSTODES contribue à façonner l'avenir de la certification de cybersécurité en Europe et au-delà.
Vous souhaitez en savoir plus sur le projet CUSTODES et son approche innovante de la certification en cybersécurité ? Visitez le site Web du projet CUSTODES pour découvrir ses composantes, ses objectifs et ses efforts de collaboration. Restez informé des progrès et des résultats de cette initiative ambitieuse et découvrez comment elle façonne l'avenir de la certification en cybersécurité
Notes de fin
- SecureFrame. « 190 statistiques sur la cybersécurité pour inciter à agir cette année. » Dernière modification en octobre 2024. https://secureframe.com/blog/cybersecurity-statistics .
- Union internationale des télécommunications (UIT). « Tendances mondiales de l'IoT et croissance du marché ». Consulté le 6 décembre 2024. https://www.itu.int/en/ITU-T/techwatch/Pages/iot-statistics.aspx .
- Commission européenne. « Cadre de certification de cybersécurité de l'UE ». Consulté le 6 décembre 2024. https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-certification .
- ETSI. « ETSI EN 303 645 : Cybersécurité pour l'Internet des objets grand public. » Consulté le 6 décembre 2024. https://www.etsi.org/deliver/etsi_en/303600_303699/303645/ .
- Critères communs. « ISO/CEI 15408 : Critères communs pour l'évaluation de la sécurité des technologies de l'information. » Consulté le 6 décembre 2024. https://www.commoncriteriaportal.org/ .