La prise en compte de la sécurité au plus tôt lors de la construction d’un produit est essentielle, mais pas suffisante pour répondre aux exigences du CRA. Comment intégrer la sécurité dans l’usine logicielle puis en phase de run lorsque le produit est en production et/ou déployé chez les clients ?
Dans un premier article paru en octobre 2024 dans MISC n°136 [ART_PART_1], les bases d’une réflexion sur les enjeux autour de la mise en conformité avec le règlement Cyber Resilience Act, également nommé CRA ont été posées avec la présentation d’une stratégie opérationnelle. En effet, un plan d’action centré sur le déploiement d’activités DevSecOps avait été initié avec des conseils relatifs à la phase de BUILD. Cette approche de travail encadrée met en lumière des méthodes de conception permettant d’allier développement, sécurisation et fonctionnalités métier afin de répondre aux différentes exigences imposées par ce nouveau règlement tout en conservant une agilité opérationnelle essentielle pour les fabricants.
Ce second volet approfondit l’analyse du CRA en le mettant en perspective avec d’autres textes européens, mais aussi américains. La phase de RUN du cycle DevSecOps sera également détaillée, offrant une vision complète...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
[ART_PART_1] E. Celhabe et A. Lagier, « Cyber Resilience Act et DevSecOps : le nouveau mariage parfait ? », MISC n°136, octobre 2024 : https://connect.ed-diamond.com/misc/misc-136/cyber-resilience-act-et-devsecops-le-nouveau-mariage-parfait
[EU_TRACKER] Site de l’Union Européenne mettant à disposition les informations relatives à la validation du CRA : https://eur-lex.europa.eu/procedure/EN/2022_272
[CRA] Proposition de réglementation pour la régulation des produits comportant des éléments numériques datant de septembre 2022 : https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52022PC0454
[NIS_2] Directive européenne NIS 2 publiée le 14 décembre 2022 : https://eur-lex.europa.eu/eli/dir/2022/2555
[DORA] Règlement européen sur la résilience opérationnelle numérique pour le secteur bancaire et financier : https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX:32022R2554
[IA_ACT] Règlement européen sur l’intelligence artificielle :
https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=OJ:L_202401689
[EXEC_ORDER] Décret présidentiel de l’administration Biden datant de 2021 :
https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/
[SBOM_TYPES] Types of Software Bill of Materials (SBOM) :
https://www.cisa.gov/resources-tools/resources/types-software-bill-materials-sbom
[SIGSTORE] Sigstore : https://www.sigstore.dev/
[GITLAB_CI] Get started with GitLab CI/CD : https://docs.gitlab.com/ee/ci/
[GITHUB_ACT] GitHub Actions : https://docs.github.com/en/actions
[CODECOV] Bash Uploader Security Update : https://about.codecov.io/security-update
[AI_DSO] AISecOps: Expanding DevSecOps to Secure AI and ML :
https://devops.com/aisecops-expanding-devsecops-to-secure-ai-and-ml/
[SIGNED_COMMIT] Signed commits : https://docs.gitlab.com/ee/user/project/repository/signed_commits/
[PUSH_RULES] Push Rules GitLab : https://docs.gitlab.com/ee/user/project/repository/push_rules.html
[CERT_FR] CERT FR ANSSI : https://www.cert.ssi.gouv.fr/
[OPENCVE] OpenCVE : https://www.opencve.io/
[VEX] Vulnerability Exploitability eXchange : https://www.cisa.gov/sites/default/files/publications/VEX_Use_Cases_Document_508c.pdf
