KANBrief 2/25
Les failles de sécurité dans les logiciels de produits passent souvent inaperçues, mais les nouvelles réglementations de l’UE devraient changer la donne. Le règlement sur la cyberrésilience et le règlement Machines définissent des exigences claires en matière de protection des systèmes de commande contre toute corruption accidentelle ou intentionnelle. C’est maintenant à la normalisation qu’il appartient, en tenant compte du futur guide pour le règlement Machines, de créer les fondements d’une technique sûre et fiable sur le marché européen.
Chaque année, les chercheurs spécialisés dans la cybersécurité signalent des milliers de failles informatiques dans des produits, allant des portes dérobées dans les systèmes de commande industriels jusqu’aux commandes radio qui font aveuglément confiance à n’importe quel émetteur. Nombreux sont les utilisateurs qui ne sont même pas conscients de ces failles de sécurité. Et jusqu’à présent, rien n’incitait vraiment les fabricants à investir dans davantage de ressources pour remédier à ces failles. Voyant que le marché ne parvenait pas à résoudre le problème, la Commission a réagi en adoptant un vaste paquet réglementaire :
Le Règlement sur la cybersécurité définit le mandat de l’Agence de l’Union européenne pour la cybersécurité (ENISA). L’ENISA a pour mission d’améliorer la communication sur les vulnérabilités entre les lanceurs d’alerte, les fabricants, les exploitants et les autorités en Europe. Elle a, à cet effet, mis en place une base de données européenne.
La directive NIS 2 définit, pour des entités et entreprises essentielles et importantes, des exigences auxquelles doit répondre la sécurité de leurs réseaux et systèmes d’information (NIS), ainsi que des règles contraignantes pour la notification d’incidents. À l’heure actuelle, de nombreux États membres sont en retard dans la transposition de cette directive au niveau national.
Le Règlement sur la cyberrésilience (CRA) stipule les obligations des fabricants en matière de l’évitement et de la gestion des vulnérabilités, qui doivent notamment mettre en place un point de contact d’urgence joignable en permanence. Concernant la communication, plusieurs spécifications librement accessibles se sont établies. Elles définissent notamment des standards uniformes permettant de décrire le niveau de criticité des failles de sécurité, ainsi que les formats de données à utiliser pour les décrire :
La spécification RFC 9116 de l’Internet Engineering Task Force (IETF) décrit comment les entreprises peuvent enregistrer, dans un simple fichier texte accessible dans le monde entier, les contacts d’urgence en cas de faille de sécurité. Le CRA ne stipule pas de format concret pour la nomenclature des logiciels contenus dans un produit (Software Bill of Materials – SBOM), liste que le fabricant doit créer. Les formats qui s’imposent particulièrement aujourd’hui sont le CycloneDX et la norme ouverte ISO/IEC 5692 « System Package Data Exchange ». La SBOM permet de signaler automatiquement les produits qui contiennent un logiciel présentant une faille de sécurité connue. Pour les recommandations d’action lisibles par machine exigées par le CRA, c’est le Common Security Advisory Framework (CSAF) ISO/IEC 20153 qui s’est imposé. Le poids du CRA se reflète aussi dans de nouveaux projets de normalisation : rien qu’en 2025, quelque 40 propositions de nouvelles normes seront soumises au vote en vue d’être harmonisées conformément au CRA.
Le règlement Machines, qui s’adresse aux fabricants, stipule à l’Annexe III, paragraphes 1.1.9 et 1.2.1, qu’une protection adéquate contre la corruption accidentelle ou intentionnelle doit être prévue dès la conception, et que la preuve d’une intervention légitime ou illégitime dans les logiciels ou le matériel informatique doit être recueillie.
La Commission européenne prévoit de publier, au plus tard en janvier 2027, un guide fournissant des explications pratiques des termes employés, et clarifiant les obligations. L’un des cinq groupes de travail élaborant le guide se penchera sur les sections du règlement consacrées à la protection contre la corruption. Le guide est une interprétation du règlement et constituera ainsi un instrument important pour la normalisation.
Au CENELEC, les travaux de normalisation sur la prEN 50742 ont déjà commencé, norme dans laquelle seront concrétisées les exigences du règlement Machines en matière de protection contre la corruption. Cette norme devra, dans la mesure du possible, être compatible avec d’autres normes de sécurité informatique, notamment l’ISO/IEC 15408 (Common Criteria), l’EN 17640 (Méthodologie d’évaluation de la cybersécurité pour produits TIC) ou l’IEC 62443 (Sécurité informatique des réseaux de communication industriels). Elle devra par ailleurs être applicable à une très vaste gamme de produits, allant des visseuses sans fil aux composant de sécurité, en passant par les machines-outils et les ponts élévateurs. Un projet de comité (CD) de la prEN 50742 est attendu pour l’été 2025. Dans l’idéal, la norme devrait être élaborée suffisamment rapidement pour être déjà harmonisée avant l’entrée en application du règlement Machines le 20 janvier 2027.
La révision de la norme ISO 12100 sur la sécurité des machines reflète, elle aussi, la tendance à prendre en compte non seulement leur sécurité fonctionnelle (safety), mais aussi les questions de la sécurité informatique (security). L’approche la plus prometteuse semble être de recenser, en un premier temps, tous les dangers potentiels dans une analyse classique de risques, analyse dans laquelle seront examinés les phénomènes dangereux que présente la machine sans mesures de protection. L’étape suivante consistera à mettre en œuvre les mesures de protection, qui devront être elle-mêmes protégées contre la corruption pour pouvoir être fiables et efficaces. L’idée directrice est ici d’empêcher la survenue de tout autre nouveau danger dû à une corruption accidentelle ou intentionnelle. Il faut pour cela prendre également en compte la fiabilité d’évaluation des signaux tels qu’une demande d’arrêt d’urgence. L’Institut pour la sécurité et la santé au travail de la DGUV a examiné différents systèmes de commande de machines et a constaté que, dans de nombreux cas, la fonction d’arrêt d’urgence pouvait être corrompue à distance avec une facilité déconcertante.
La corruption simultanée de plusieurs machines doit, elle aussi, être prise en compte dans la normalisation. Si par exemple un ascenseur ou une pompe à essence isolés tombent en panne, cela n’est pas très grave, tandis qu’une cyberattaque généralisée contre tous les systèmes dotés d’une commande identique peut avoir des conséquences catastrophiques. Alors qu’il est très improbable que différents systèmes tombent en panne en même temps pour cause d’usure, la corruption généralisée de tous les systèmes identiques constitue un scénario de sécurité d’une gravité extrême.
La première mesure d’urgence que l’on pourrait recommander à toutes les entreprises serait de mettre en place dès aujourd’hui le contact d’urgence décrit dans la spécification RFC 9116. De plus, les éléments essentiels sur la sécurité informatique à intégrer dans les futures normes sont, depuis des décennies, documentés par les milieux scientifiques. Le défi actuel consiste à trouver à ce sujet un consensus sur le risque socialement acceptable, et à élaborer des principes d’essai adaptés à la pratique.
Jonas Stein
Institut pour la sécurité et la santé au travail de la DGUV (IFA)
jonas.stein@dguv.de
Arne Sonnenburg
Institut fédéral de la Sécurité et de la Santé au Travail (BAuA)
sonnenburg.arne@baua.bund.de