broken image
broken image
Contactez-nous
  • INTRO
  • SERVICES 
    • Éduquer et alerter
    • Conception sécurisée
    • Tester et certifier
    • Automatiser
    • Par Secteur
  • NORMES ET RÈGLEMENTATIONS 
    • ETSI EN 303 645
    • FDO IoT
    • IEC 62443
    • CC | EUCC
    • Alliance IoXt
    • FIDO
    • FIPS 140-3
    • Service cloud de l'UE
    • ISO 21434 et R155
    • FR 17640 | FITCEM | CSPN
    • ARC
    • RED-DA
    • MDR
    • SESIP
    • IoT de la GSMA
  • À PROPOS DE NOUS 
    • Qui sommes-nous
    • Projets de l'UE
    • Ils nous font confiance !
    • Carrières
    • Ressources
    • Contact
  • Blog & News 
    • Conformité & Réglementations
    • Technologie & Sécurité
    • Cas d'usage
    • Analyses & Tendances
    • Projets EU et de Recherche
  • …  
    • INTRO
    • SERVICES 
      • Éduquer et alerter
      • Conception sécurisée
      • Tester et certifier
      • Automatiser
      • Par Secteur
    • NORMES ET RÈGLEMENTATIONS 
      • ETSI EN 303 645
      • FDO IoT
      • IEC 62443
      • CC | EUCC
      • Alliance IoXt
      • FIDO
      • FIPS 140-3
      • Service cloud de l'UE
      • ISO 21434 et R155
      • FR 17640 | FITCEM | CSPN
      • ARC
      • RED-DA
      • MDR
      • SESIP
      • IoT de la GSMA
    • À PROPOS DE NOUS 
      • Qui sommes-nous
      • Projets de l'UE
      • Ils nous font confiance !
      • Carrières
      • Ressources
      • Contact
    • Blog & News 
      • Conformité & Réglementations
      • Technologie & Sécurité
      • Cas d'usage
      • Analyses & Tendances
      • Projets EU et de Recherche
broken image
broken image
  • INTRO
  • SERVICES 
    • Éduquer et alerter
    • Conception sécurisée
    • Tester et certifier
    • Automatiser
    • Par Secteur
  • NORMES ET RÈGLEMENTATIONS 
    • ETSI EN 303 645
    • FDO IoT
    • IEC 62443
    • CC | EUCC
    • Alliance IoXt
    • FIDO
    • FIPS 140-3
    • Service cloud de l'UE
    • ISO 21434 et R155
    • FR 17640 | FITCEM | CSPN
    • ARC
    • RED-DA
    • MDR
    • SESIP
    • IoT de la GSMA
  • À PROPOS DE NOUS 
    • Qui sommes-nous
    • Projets de l'UE
    • Ils nous font confiance !
    • Carrières
    • Ressources
    • Contact
  • Blog & News 
    • Conformité & Réglementations
    • Technologie & Sécurité
    • Cas d'usage
    • Analyses & Tendances
    • Projets EU et de Recherche
  • …  
    • INTRO
    • SERVICES 
      • Éduquer et alerter
      • Conception sécurisée
      • Tester et certifier
      • Automatiser
      • Par Secteur
    • NORMES ET RÈGLEMENTATIONS 
      • ETSI EN 303 645
      • FDO IoT
      • IEC 62443
      • CC | EUCC
      • Alliance IoXt
      • FIDO
      • FIPS 140-3
      • Service cloud de l'UE
      • ISO 21434 et R155
      • FR 17640 | FITCEM | CSPN
      • ARC
      • RED-DA
      • MDR
      • SESIP
      • IoT de la GSMA
    • À PROPOS DE NOUS 
      • Qui sommes-nous
      • Projets de l'UE
      • Ils nous font confiance !
      • Carrières
      • Ressources
      • Contact
    • Blog & News 
      • Conformité & Réglementations
      • Technologie & Sécurité
      • Cas d'usage
      • Analyses & Tendances
      • Projets EU et de Recherche
Contactez-nous
broken image

Les 10 principales choses à savoir sur l'utilisation de SBOM pour sécuriser les appareils IoT industriels

· Cas d’usage,Technologie & Sécurité

Les nomenclatures logicielles (SBOM) sont utilisées pour sécuriser les appareils IoT industriels en améliorant la cybersécurité et la maintenance. Le cas d'utilisation normal des SBOM concerne les logiciels gérés par l'utilisateur. Cependant, les SBOM peuvent également être utilisées comme un outil pour décrire les logiciels préinstallés sur un appareil. Étant donné que les utilisateurs d'appareils n'ont pas de relation directe avec le fournisseur de logiciels, ils doivent s'appuyer sur le fabricant de l'appareil pour suivre et gérer les vulnérabilités de l'appareil. Voici les 10 principales choses que vous devez savoir sur l'utilisation des SBOM pour sécuriser les appareils IoT industriels :

1- Atténuation des risques et prise de décision

Les SBOM aident les développeurs de logiciels à atténuer les risques posés par les composants vulnérables, leur permettant de prendre des décisions telles que le remplacement de composants à haut risque ou la fourniture d'un correctif pour une vulnérabilité.

2 - Logiciels et micrologiciels

Il existe deux types de SBOM qui sont régulièrement développés : l'un est destiné aux produits logiciels gérés par l'utilisateur, et l'autre aux logiciels et micrologiciels installés sur un appareil IoT ou IIoT. La différence entre les deux est que les produits logiciels gérés par l'utilisateur ont déjà un logiciel préinstallé, tandis que les mises à jour logicielles d'un appareil IoT sont appliquées à distance par le fournisseur. Par conséquent, le propriétaire de l'appareil doit recevoir un SBOM pour chaque produit logiciel géré par l'utilisateur.

3 - Cybersécurité des composants et risques liés aux licences

Les SBOM gèrent deux principaux types de risques : les risques liés à la cybersécurité des composants et les risques liés aux licences des composants. Les risques liés aux licences des composants concernent principalement les développeurs de logiciels, tandis que les risques liés à la cybersécurité des composants ont un impact sur les objectifs organisationnels de l'entreprise.

4 - Format commun

CycloneDX et SPDX sont deux formats SBOM complets qui peuvent être représentés sous plusieurs formes. Bien que ces formes incluent des feuilles de calcul, les représentations les plus utilisées sont XML et JSON.

5 - VEX

Vulnerability Exploitability eXchange (VEX) est un type de document qui a été développé pour résoudre les vulnérabilités logicielles et est communément appelé « artefact compagnon » d'un SBOM. Les deux formats VEX existants sont lisibles par machine.

6 - Visibilité

Les vulnérabilités détectées dans les composants logiciels ne sont pas toutes exploitables et la plupart d'entre elles ne peuvent pas être exploitées par un attaquant doté de capacités communes pour compromettre le produit. Cependant, un utilisateur de logiciel ne saura pas si la vulnérabilité qui a été révélée est grave ou exploitable dans le contexte de l'utilisation prévue.

7 - Suivi

Les entreprises qui gèrent les vulnérabilités des composants dans les produits logiciels gérés par les utilisateurs doivent faire appel au fournisseur pour qu'il fournisse un nouveau SBOM à chaque fois qu'un changement est apporté au logiciel, ce qui peut impliquer un outil automatisé capable d'ingérer des SBOM et des documents VEX. Lorsque la compilation des vulnérabilités est effectuée régulièrement, l'organisation disposera toujours d'une liste à jour des vulnérabilités des composants exploitables qu'elle pourra intégrer dans ses outils de gestion des vulnérabilités. Elle peut également utiliser la liste pour se coordonner avec le fournisseur du produit et déterminer quand corriger les vulnérabilités exploitables graves.

8 - Obligations du fabricant

En raison de l'obligation du fabricant de l'appareil envers le client, il doit être en mesure de fournir au client un SBOM complet, qui est mis à jour chaque fois qu'une mise à jour logicielle est effectuée.

9 - Responsabilité du fabricant et du fournisseur

Le fabricant de l'appareil devient responsable de la correction des vulnérabilités graves si le fournisseur ne le fait pas pour une raison quelconque. En effet, le fabricant de l'appareil est celui qui a la relation directe avec l'utilisateur final et peut faire la demande au fournisseur.

10 - Suivi approprié

Pour suivre et traiter correctement les vulnérabilités des appareils, les fabricants doivent enregistrer l'appareil dans la base de données nationale des vulnérabilités et signaler les vulnérabilités des logiciels et des micrologiciels installés sur l'appareil.

Enfin, si vous souhaitez en savoir plus sur la manière d'utiliser les SBOM pour sécuriser les appareils IoT, nous vous recommandons vivement de lire davantage l' étude suivante publiée par l'IIC ou de contacter des experts spécialisés .

 

 

 

 

 

 

 

 

 

S'abonner
Billet précédent
Les 5 principaux défis en matière de cybersécurité...
Billet suivant
Nouvelles directives du NIST pour la cybersécurité de l...
 Revenir au site
Photo de profil
Annuler
Utilisation des cookies
Nous utilisons des cookies pour améliorer l'expérience de navigation, la sécurité et la collecte de données. En acceptant, vous consentez à l'utilisation de cookies à des fins publicitaires et d'analyse. Vous pouvez modifier vos paramètres de cookies à tout moment. En savoir plus
Accepter tout
Paramètres
Refuser Tout
Paramètres des Cookies
Cookies nécessaires
Ces cookies sont destinés pour des fonctionnalités de base telles que la sécurité, la gestion du réseau et l'accessibilité. Ces cookies ne peuvent pas être désactivés.
Cookies pour les statistiques
Ces cookies nous aident à mieux comprendre comment les visiteurs interagissent avec notre site web et nous aident à découvrir les erreurs de navigation.
Préférence pour les Cookies
Ces cookies permettent au site web de se souvenir des choix que vous avez faits afin de fournir une fonctionnalité et une personnalisation améliorées.
Enregistrer