Selon le dernier rapport de Cybersecurity Ventures [CYBERV_RAP], les coûts mondiaux liés à la cybercriminalité devraient atteindre les 10,5 trillions de dollars (9,6 trillions d’euros) par an d’ici 2025. Ces montants augmentent chaque année en raison de l'immaturité de nos systèmes, de l'industrialisation et de la sophistication croissante des attaques. Comment l’Union Européenne (via l’ENISA) peut-elle assurer la sécurité de ses entreprises et citoyens ? Le DevSecOps peut-il concrètement aider à cette sécurisation ?
Le périmètre adressé par la rencontre entre CRA et DevSecOps est vaste. Par souci d’espace, seule la présentation de CRA suivie de l’intégration des activités dans le build sera présentée dans cet article. La deuxième partie, traitant de la mise en perspective de CRA et de l’intégration des activités dans la CI/CD et le run, sera traitée dans un prochain article.
1. Présentation du Cyber Resilience Act et de ses implications
1.1 Panorama de la cybermenace actuelle
Au travers de la crise du Covid-19 et des différentes instabilités géopolitiques survenues ces dernières années, il est impossible de douter de l’interconnexion de nos sociétés, mais également de nos systèmes d’information. Ces connexions certes bénéfiques et nécessaires à la croissance économique conduisent à l’émergence de nouveaux enjeux axés autour de la cybermenace et donc de la cybersécurité.
Les différents rapports émis par l’ENISA [ENISA_RAP] (Agence de...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
[CYBERV_RAP] Cybercrime To Cost The World $9.5 Trillion USD Annually In 2024 :
https://cybersecurityventures.com/cybercrime-to-cost-the-world-9-trillion-annually-in-2024/
[ENISA_RAP] ENISA Threat Landscape 2023 :
https://www.enisa.europa.eu/publications/enisa-threat-landscape-2023
[CCCS_RAP] Évaluation des cybermenaces nationales Canada 2024 :
https://www.cyber.gc.ca/sites/default/files/ecmn-2023-24-web2.pdf
[ANSSI_RAP] Panorama de la cybermenace :
https://www.cert.ssi.gouv.fr/uploads/CERTFR-2024-CTI-001.pdf
[CRA] Proposition de réglementation pour la régulation des produits comportant des éléments numériques datant de septembre 2022 : https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52022PC0454
[NIS_2] Directive européenne NIS 2 publiée le 14 décembre 2022 :
https://eur-lex.europa.eu/eli/dir/2022/2555
[EXEC_OR] Décret présidentiel de l’administration Biden datant de 2021 :
https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/
[PRESSE_1] Communiqué de presse du Parlement Européen à la suite de la session plénière de mars 2024 :
https://www.europarl.europa.eu/news/fr/press-room/20240308IPR18991/les-deputes-adoptent-la-loi-sur-la-cyber-resilience
[MISC_IA] Les nouvelles menaces liées à l’intelligence artificielle :
https://connect.ed-diamond.com/contenu-premium/les-nouvelles-menaces-liees-a-l-intelligence-artificielle
[OPEN_SOURCE] Article Euractiv d’octobre 2023 sur le cas particulier des logiciels open source :
https://www.euractiv.fr/section/cybersecurite/news/loi-cyberresilience-accord-en-vue-sur-les-logiciels-open-source-et-le-maintien-en-conditions-operationnelles/
[REG_2017/745] Réglementation européenne publiée en avril 2017 pour les dispositifs médicaux :
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32017R0745
[REG_2017/746] Réglementation européenne publiée en avril 2017 pour les dispositifs médicaux in vitro :
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32017R0746
[REG_2019/2144] Réglementation européenne datant de novembre 2019 pour les véhicules à moteur :
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32019R2144
[REG_2018/1139] Réglementation européenne en date de juillet 2018 :
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32018R1139
[DORA] Règlement européen sur la résilience opérationnelle numérique pour le secteur bancaire et financier : https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX:32022R2554
[CVE-2021-44228] National Vulnerability Database, NIST, 10 décembre 2021 :
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
[SDLC] A. Lagier, « Secure Software Development LifeCycle », MISC n°109, mai 2020 :
https://connect.ed-diamond.com/MISC/misc-109/secure-software-development-lifecycle
[EBIOS] Méthode EBIOS Risk Manager : https://cyber.gouv.fr/la-methode-ebios-risk-manager
[THREAT_M] Threat Modeling : https://owasp.org/www-community/Threat_Modeling_Process
[RGPD_DEV] Guide RGPD du développeur : https://www.cnil.fr/fr/guide-rgpd-du-developpeur
[TEST_INTRUSION] Y. Schramer et A. Lagier, « La place des tests d'intrusion dans le cycle de développement logiciel », MISC HS n°28, février 2024 : https://connect.ed-diamond.com/misc/mischs-028/la-place-des-tests-d-intrusion-dans-le-cycle-de-developpement-logiciel
[CDX] CycloneDX : https://cyclonedx.org
[SPDX] System Package Data Exchange (SPDX®) : https://spdx.dev
[VEX] Vulnerability Exploitability eXchange :
https://www.cisa.gov/sites/default/files/2023-01/VEX_Use_Cases_Aprill2022.pdf
[OPENVEX] GitHub OpenVex : https://github.com/openvex
[VEXCTL] vexctl : https://github.com/openvex/vexctl
[OPENVEX_JUSTIFICATION] Statut de justification OpenVEX :
https://github.com/openvex/spec/blob/main/OPENVEX-SPEC.md#status-justifications
[SIGNED_COMMIT] Signature de commits sur GitLab :
https://docs.gitlab.com/ee/user/project/repository/signed_commit2
