Réussi cyberattaques contre des produits matériels et logiciels deviennent d’une fréquence inquiétante. Selon Cybersecurity Ventures, la cybercriminalité a coûté au monde environ 7 2022 milliards de dollars en XNUMX. Avec un prix aussi élevé, il n’est pas étonnant que les entreprises et les gouvernements en prennent conscience. Les États-Unis ont ouvert la voie avec décret présidentiel sur l'amélioration de la cybersécurité de la nation publié le 12 mai 2021. Cela a été suivi par le cadre de développement logiciel sécurisé (SSDF) du NIST cela devient lentement une nouvelle bonne pratique établie, obligatoire dans tout produit logiciel. L’Union européenne ne reste pas les bras croisés – La loi européenne sur la cyber-résilience est un projet de loi visant à renforcer la cybersécurité des infrastructures critiques dans l'ensemble de l'UE.
La phase de collecte de commentaires sur le projet de loi a commencé en décembre 2020, mais la première version du projet de loi n'a été publiée que le 14 septembre 2022. Étant donné qu'une législation d'une telle envergure pourrait potentiellement avoir des implications de grande envergure, nous avons pensé que nous prendrions la décision plonger et essayer d'expliquer en quoi consiste ce projet de loi et qui sera touché par celui-ci. Commençons par un bref aperçu du projet de loi.
Décomposer la facture : ce que vous devez savoir
L'ECRA vise à renforcer la cybersécurité des infrastructures critiques dans l'ensemble de l'Union européenne (UE). La loi concerne principalement les opérateurs de services essentiels et les fournisseurs de services numériques. Ceux-ci sont définis dans la directive existante de l'UE sur la sécurité des réseaux et des systèmes d'information (directive NIS) et comprennent, entre autres, les secteurs de l'énergie, des transports, de la banque, de la santé et des infrastructures numériques.
La loi proposée s'appliquerait également aux fournisseurs de services numériques qui ne sont pas couverts par la directive NIS, mais qui proposent des services en ligne aux consommateurs de l'UE. Il s'agit notamment des marchés en ligne, des services de cloud computing et des moteurs de recherche.
Puisqu'il vise à couvrir tous les appareils connectés qui ne sont pas déjà couverts par d'autres législations de l'UE, il est probable qu'il aura un impact sur l'IoT et d'autres appareils connectés, en particulier ceux qui sont déjà sur le marché.
La loi proposée comprend un certain nombre de mesures, telles que :
- La mise en place d’un système de certification en cybersécurité pour les opérateurs de services essentiels et les prestataires de services numériques.
- La création d'une plateforme de partage d'informations sur la cybersécurité pour aider les organisations à partager des informations sur les cybermenaces et les incidents. Le projet de loi proposé comprend une obligation de déclaration de tout événement de cybersécurité dans les 24 heures à l'Agence de l'Union européenne pour la cybersécurité (ENISA).
- L'adoption d'une méthodologie commune pour évaluer les risques de cybersécurité et l'élaboration de lignes directrices pour la gestion des risques.
- La création d’un Centre européen de cyber-résilience pour fournir un soutien aux États membres en cas de cyberattaque.
Il est important de noter que la législation proposée comprend un système de certification pour les produits, services et processus TIC. Le processus de certification implique une évaluation de la conformité par un organisme d'évaluation de la conformité (OEC) désigné pour déterminer si le produit, le service ou le processus répond aux exigences spécifiées dans la loi. La loi crée un comité européen de certification de la cyber-résilience, chargé de maintenir le système de certification et d'assurer sa cohérence dans l'ensemble de l'UE. Les tests et audits réguliers sont censés se poursuivre même une fois que le nouveau conseil a délivré un certificat de conformité au fournisseur du produit, du service ou du processus en question. Une surveillance continue garantirait que le respect des exigences du projet de loi ne se relâche pas une fois qu'un certificat est accordé – le maintien de la conformité est censé être continu.
En outre, l'ECRA propose un certain nombre de mesures visant à améliorer la coopération et le partage d'informations entre les États membres de l'UE et à renforcer les capacités de cybersécurité de l'UE. Il s’agit notamment de la création d’un centre européen de compétences en matière de cybersécurité et d’un réseau de centres nationaux de coordination de la cybersécurité, ainsi que du développement d’un cadre commun pour le signalement et la réponse aux incidents de cybersécurité. Le projet de loi propose également la création d'une base de données européenne sur les vulnérabilités afin de ne pas s'appuyer uniquement sur les données américaines. NVD.
Le projet de loi couvre également la surveillance et l'application du marché afin de garantir que les nouvelles normes sont correctement respectées dans tous les États membres et pour tous les appareils et services couverts proposés sur le marché de l'UE, quel que soit l'endroit où ils ont été fabriqués.
Quel est le rapport avec les récentes meilleures pratiques américaines ?
Comme mentionné ci-dessus, les États-Unis et l'UE ont décidé d'améliorer la protection de leurs marchés respectifs en matière de cybersécurité. Il est donc logique de voir si l’une des nouvelles meilleures pratiques américaines a trouvé sa place dans l’ECRA.
À ceux qui connaissent le SSDF (NIST 800-218) certains termes utilisés par l'ECRA peuvent sembler familiers. Le projet de loi exige que la sécurité soit incluse dans les produits dès leur création et ne soit pas « ajoutée » ultérieurement. L'ECRA comprend des exigences pour l'identification et la gestion des risques liés à la chaîne d'approvisionnement, et le système européen de certification de cybersécurité proposé, même s'il n'est pas encore correctement défini, nécessiterait probablement l'utilisation de Nomenclature logicielle (SBOM) et des pratiques de développement de logiciels sécurisées.
La proposition appelle également à la mise en œuvre de mesures techniques et organisationnelles pour sécuriser les systèmes d'information et les données, y compris l'utilisation d'une authentification et d'un cryptage forts, de capacités de surveillance et de détection, d'une planification de la réponse aux incidents et de tests et audits de sécurité réguliers – tous des éléments clairement définis dans la proposition. SSDF.
L'une des nouvelles bonnes pratiques promues aux États-Unis est l'utilisation du SBOM pour suivre les dépendances, les vulnérabilités et les licences logicielles. Il vise à accroître la transparence des produits et à permettre aux fabricants et aux utilisateurs d'avoir une vision plus claire de ce qui pourrait exactement être caché à l'intérieur du produit. Bien que l'ECRA ne mentionne pas explicitement le SBOM, il convient de noter que la question de la transparence des logiciels, qui inclut le concept de SBOM, est depuis longtemps un sujet de discussion dans le contexte de la stratégie de cybersécurité de l'Union européenne. En juin 2021, la Commission européenne a publié une proposition de Règlement sur la résilience opérationnelle numérique pour le secteur financier, qui comprend l’obligation pour les entités financières d’utiliser et de maintenir un « inventaire complet et à jour de leurs systèmes et actifs TIC ». Cet inventaire devrait inclure « une carte à jour des interconnexions et des interdépendances des systèmes et des actifs TIC et, le cas échéant, des composants logiciels et matériels respectifs ».
Bien que cette exigence soit spécifique au secteur financier, elle suggère que l’Union européenne réfléchit à l’importance de la transparence des logiciels pour garantir la résilience de la cybersécurité. Il reste à voir si la loi européenne sur la cyber-résilience ou d’autres initiatives législatives incluront à l’avenir des exigences plus explicites pour les SBOM.
Comment ce projet de loi va-t-il vous affecter ?
Comme l'ECRA n'est pas encore définitif, il est difficile d'être définitif ici. Ce que nous pouvons faire, c’est établir des parallèles avec une autre législation européenne globale – le RGPD.
Le Règlement général sur la protection des données (RGPD) est un règlement complet sur la protection de la vie privée et des données que l'Union européenne a adopté (UE) en avril 2016 et est entré en vigueur le 25 mai 2018. Le projet de loi s'applique à toutes les organisations qui collectent, traitent ou stockent les données personnelles des personnes situées dans l'UE, quel que soit le lieu où se trouve l'organisation ou celui des données stockées. Elle impose aux organisations des obligations pour garantir la sécurité et la confidentialité des données personnelles, y compris des exigences en matière de notification des violations de données, d'évaluations d'impact sur la protection des données et de confidentialité dès la conception et par défaut. Les organisations qui ne respectent pas le RGPD s’exposent à des amendes et autres sanctions importantes.
Au cours des années qui ont suivi l'entrée en vigueur du projet de loi RGPD, nous avons constaté un effet de « retombée » de cette réglementation. Au départ, seules les organisations exerçant leurs activités dans l’UE estimaient devoir s’y conformer. Les entreprises américaines ont été condamnées à plusieurs lourdes amendes pour non-respect des exigences du projet de loi. Aujourd’hui, même les entreprises qui n’ont rien à voir avec les citoyens de l’UE respectent la réglementation. Il est logique de se conformer, de sorte que si et quand vous souhaitez vendre en Europe, vous n'aurez pas à vous battre pour vous conformer.
Dans l’ensemble, l’ECRA ressent à peu près la même chose. Alors qu’une grande partie du monde se démène toujours pour répondre à la hausse des incidents de cybersécurité, toute législation complète et claire conçue pour atténuer les failles de sécurité des producteurs de logiciels a de bonnes chances d’être adoptée. Encore une fois, il est logique de se conformer à l'avance afin que si et quand vous êtes prêt à vendre dans l'UE, vous soyez déjà couvert.
Cela signifie que la réponse à la question « Ce projet de loi va-t-il m'affecter ? » est un oui catégorique si vous avez quelque chose à voir avec la fabrication de logiciels. Cela ne vous affectera peut-être pas dès le départ, mais à un moment donné, vous devrez vous y conformer, même si cela est simplement reconnu comme une nouvelle bonne pratique commune.
Heureusement, un hub de sécurité basé sur des preuves peut vous aider
Pour surmonter l'évolution des défis de sécurité, nous assistons actuellement à l'évolution de la sécurité des applications vers la sécurité de la chaîne d'approvisionnement logicielle. Il comprend une nouvelle génération de technologies et de nouveaux outils qui tentent de relever ces défis. Les outils et solutions automatisés aident les organisations à atteindre un nouveau niveau de sécurité en fournissant une plate-forme d'assurance continue de la sécurité du code, fondée sur des preuves, qui peut attester de la fiabilité du cycle de vie du développement logiciel et des composants logiciels.
Scribe est un hub de sécurité de la chaîne d'approvisionnement logicielle. Il collecte des preuves et les présente pour chaque build exécuté via votre pipeline CI/CD. La solution Scribe a été conçue pour faciliter la conformité aux réglementations et aux meilleures pratiques américaines et européennes en termes d'augmentation de la transparence des logiciels et de la confiance entre les fournisseurs de logiciels et les utilisateurs de logiciels. La plate-forme permet la création et le partage détaillés de SBOM ainsi que d'autres informations sur la sécurité. De plus, la plateforme peut vérifier que la version que vous consultez est conforme au niveau SLSA 3 et au framework SSDF du NIST. Compte tenu des relations et similitudes évidentes entre l'ECRA et le SSDF, être en mesure d'attester que votre logiciel est conforme au SSDF pourrait également contribuer grandement à établir votre conformité à l'ECRA.
Un dernier mot : ne vous laissez pas prendre au dépourvu
La loi européenne sur la cyber-résilience n’est actuellement qu’une proposition et n’a pas encore été adoptée par l’UE. Le projet de loi est actuellement en cours de processus législatif et est examiné par le Parlement européen et le Conseil de l'UE. Le projet de loi devrait faire l'objet de plusieurs cycles de négociations et de révisions avant d'être adopté comme loi. Il y a de fortes chances que la version finale de la loi change, y compris les dispositions liées à la sécurité des produits, à la certification ainsi qu'aux produits et secteurs couverts par le projet de loi.
Il convient de noter que les détails de la manière dont la loi propose de vérifier que les produits répondent aux normes de cybersécurité n'ont pas encore été entièrement couverts dans le projet publié. La version finale de la loi pourrait inclure des exigences plus spécifiques en matière de certification et de vérification des produits, parmi de nombreux autres domaines nécessitant des éclaircissements. Étant donné que la législation n'est pas encore entièrement mise en œuvre, les acteurs de l'industrie ont suggéré que la législation devrait inclure des définitions plus précises, prenant en compte les variations dans la création, la fonctionnalité et l'utilisation des produits numériques. Ils ont clairement indiqué que des exigences trop strictes en matière de cybersécurité risquaient d’exclure les PME du marché. Pour montrer exactement à quel point les choses sont incertaines, un nouveau Mise à jour à partir de décembre 2022 a déjà placé les produits SAAS clairement en dehors du champ d'application du règlement.
Afin de donner aux États de l'UE et aux développeurs de produits concernés le temps de s'adapter, le règlement proposé entrera en vigueur 24 mois après son entrée en vigueur, à l'exception de l'obligation de déclaration pour les fabricants, qui entrera en vigueur 12 mois après la date de l'entrée en vigueur. le projet de loi devient loi. Deux ans peuvent sembler longs, mais si vous dirigez une petite ou moyenne entreprise et que vous devez soudainement vous conformer à toute une série de nouvelles réglementations en matière de cybersécurité, ce délai peut sembler beaucoup trop court.
Quels que soient les détails exacts, l'ECRA représente une avancée significative dans les efforts de l'UE visant à renforcer la cybersécurité et à protéger les infrastructures critiques. Nous pouvons tous nous attendre à un monde dans lequel la plupart des entreprises se conformeront à l'ECRA aussi naturellement qu'elles informeront leurs clients de leur collecte de cookies. politique.
Ce contenu vous est proposé par Scribe Security, l'un des principaux fournisseurs de solutions de sécurité de bout en bout pour la chaîne d'approvisionnement logicielle, offrant une sécurité de pointe aux artefacts de code ainsi qu'aux processus de développement et de livraison de code tout au long des chaînes d'approvisionnement logicielles. En savoir plus.