Connexion
Arrow Electronic Components Online
BOMAfficher le panier 
Composants électroniques
Produits
Fabricants

Comment concevoir pour répondre aux exigences de cybersécurité

Sécurité17 janv. 2024
Un haut-parleur intelligent moderne est placé en évidence sur un comptoir de cuisine blanc. En arrière-plan, une personne est penchée vers l'avant, suggérant une interaction ou une observation avec l'appareil.
Afficher tous les articles

Ces dernières années, l'Internet des objets (IoT) s'est développé rapidement, avec un nombre croissant de dispositifs IoT adoptés par les consommateurs et les entreprises. Cependant, cela a également fait des dispositifs IoT une cible pour les attaques de hackers, rendant la sécurité des dispositifs IoT une préoccupation majeure pour les consommateurs et les entreprises. Cet article vous présentera les défis auxquels sont confrontées les applications IoT actuelles, les réglementations légales pertinentes et des solutions proposées par Arrow Electronics et ST Microelectronics.

Les défis dans l’IoT causés par le manque de cybersécurité

Selon les données statistiques, les principaux défis auxquels est confrontée la technologie IoT actuelle proviennent des développeurs de dispositifs IoT qui se précipitent pour créer des produits non correctement sécurisés. Un autre défi est le manque de spécialistes en analyse de données, empêchant les entreprises de tirer pleinement parti de l'IoT. De plus, il existe une abondance de produits IoT facilement attaquables sur le marché, et conjuguée à la réticence des consommateurs à mettre à jour le firmware, la sécurité de l'IoT fait face à des défis significatifs.

Les rapports sur les pirates exploitant des vulnérabilités dans les appareils IoT, exposant les comptes utilisateurs, sont fréquents. Les données des utilisateurs tombent souvent entre les mains de groupes frauduleux, qui les utilisent pour tromper les consommateurs via des escroqueries financières. De plus, certains appareils IoT sont compromis par des pirates, entraînant des violations de la vie privée. À travers des caméras compromises, la vie des utilisateurs est envahie, rappelant un scénario similaire à celui de 'The Truman Show.'

Alors que les dispositifs IoT transmettent et traitent de grandes quantités de données, pouvant inclure des informations sensibles, garantir la sécurité des systèmes IoT et la confidentialité des utilisateurs devient un défi crucial. Les risques tels que les attaques malveillantes, les violations de données et les accès non autorisés doivent être pris en compte.

Le manque de sécurité informatique peut entraîner une série de problèmes graves affectant les individus, les organisations et les sociétés entières. Ceux-ci incluent les violations de données, les pertes financières, les dommages à la réputation de l'entreprise, les menaces pour les infrastructures, les ransomwares et les risques pour la sécurité nationale. Pour résoudre ces problèmes, les organisations et les individus devraient renforcer les mesures de sécurité informatique, notamment par des mises à jour régulières des logiciels, l'utilisation de mots de passe robustes, la mise en place d'une authentification multifacteur, des examens de sécurité périodiques et la formation des employés pour accroître la sensibilisation à la sécurité, évitant ainsi les fuites coûteuses de données et de propriété intellectuelle (PI), les atteintes à la réputation de l'entreprise, les retards sur le marché et même les litiges et amendes. De plus, les gouvernements devraient promouvoir des réglementations et des politiques pertinentes, encourageant et surveillant les entreprises et les organisations pour renforcer leurs systèmes de sécurité informatique.

Réglementations et normes en cybersécurité

 RéglementationNormesMeilleures pratiques
Centré sur l'UE
  • Marquage CE
  • Règlement RGPD
  • Acte sur la cybersécurité de l'UE
  • Acte sur la résilience cyber
  • Directive RED
  •  EN 303 645 & TS 103645 (Sécurisation des objets connectés grand public)
  • TS 103 701 (Évaluation de la cybersécurité pour les produits IoT)
  •  IT-Grundschutz, SYS4.4. Équipements IoT (BSI)
  • Documents de bonnes pratiques ENISA pour la sécurité des objets connectés
Centré sur les États-Unis
  •  Federal Trade Commission Act (FTC Act)
  • CCPA : The California Consumer Privacy Act
  • Lois californiennes : SB 327 & AB 1906 : fonctionnalités de sécurité raisonnables pour les produits connectés
  • Internet of Things (IoT) Cybersecurity Improvement Act
  • UL 2900-1 : Norme pour la cybersécurité des logiciels pour les produits connectés à un réseau, Partie 1 : Exigences générales
  •  NIST Cybersecurity Framework
  • Considérations du NIST pour la gestion des risques de cybersécurité et de confidentialité des objets connectés
  • Base de capacités de cybersécurité des équipements NISTIR 8259A
Certification
  • CTIA : Programme de certification cybersécurité IoT
  • IoXt : Internet of Secure Things (Amazon, Google, Facebook, Zigbee, …)

Différents pays mettent en œuvre des mesures réglementaires pour renforcer la cybersécurité

Actuellement, il existe de nombreuses normes et réglementations en matière de cybersécurité visant à fournir des principes directeurs aux organisations et aux industries pour garantir la sécurité de l'information. Différents pays et régions ont développé leurs propres normes de cybersécurité pertinentes, notamment l'ETSI EN 303 645 dirigé par l'Union Européenne, la norme UL 2900-1 dirigée par les États-Unis, ainsi que des organismes de certification pour les appareils IoT comme CTIA et IoXt.

Une norme notable introduite par l'European Telecommunications Standards Institute (ETSI) est l'EN 303 645. Il s'agit de la première norme mondiale de cybersécurité applicable aux dispositifs IoT grand public. La norme établit des exigences de base pour l'IoT grand public, visant à intégrer des mesures techniques et organisationnelles pour atteindre de bonnes pratiques en matière de cybersécurité et de protection des données. Elle comprend 33 dispositions obligatoires et 35 dispositions recommandées couvrant 13 aspects de la cybersécurité et de la protection des données.

ETSI EN 303 645 impose le stockage sécurisé des paramètres de sécurité sensibles dans le matériel, la communication sécurisée, la minimisation des surfaces d'attaque exposées et l'assurance de l'intégrité des logiciels. En ce qui concerne les logiciels/firmwares, il exige d'éviter les mots de passe par défaut universels, d'assurer la sécurité des données personnelles, de rendre le système résilient aux pannes et de valider les données d'entrée. Sur le plan de la politique d'entreprise, il nécessite la mise en place d'une méthode de gestion des rapports de vulnérabilité, la mise à jour des logiciels, la vérification des données de télémétrie du système, la possibilité pour les utilisateurs de supprimer facilement leurs données, la simplification de l'installation et de la maintenance, ainsi qu'une explication claire des données personnelles collectées et de leur finalité, afin de garantir que les dispositifs IoT respectent les normes de sécurité requises.

Certifié PSA pour la conformité aux réglementations et normes de cybersécurité

Pour garantir la conformité des produits IoT, la certification PSA peut être recherchée. PSA Certified est un programme de certification de sécurité conçu spécifiquement pour les appareils IoT, initié par Arm, une entreprise leader en conception de semi-conducteurs et de logiciels, en collaboration avec d'autres partenaires de l'industrie. L'objectif principal de PSA Certified est d'établir un cadre reconnu mondialement pour évaluer et certifier la sécurité des appareils IoT. Le programme fournit un ensemble de directives de sécurité, de critères d'évaluation et de méthodologies de test afin de garantir que les appareils IoT répondent aux exigences minimales de sécurité.

PSA Certified définit un cadre de sécurité complet pour les dispositifs IoT, couvrant divers aspects de la sécurité, notamment l'identité des dispositifs, le démarrage sécurisé, la communication sécurisée, les mises à jour de firmware et la cryptographie. Il propose une approche standardisée pour traiter les défis de sécurité tout au long du cycle de vie des dispositifs IoT. Le programme inclut des évaluations de sécurité indépendantes menées par des laboratoires accrédités, évaluant les fonctionnalités de sécurité et la mise en œuvre des dispositifs IoT conformément aux exigences de sécurité de PSA Certified. L'indépendance de ces évaluations renforce la crédibilité et la confiance dans les revendications de sécurité des dispositifs certifiés.

PSA Certified propose différents niveaux de certification en fonction des capacités de sécurité des dispositifs IoT, allant du Niveau 1 (de base) au Niveau 3 (avancé). Chaque niveau représente un degré croissant de garantie de sécurité. Les organisations peuvent choisir le niveau de certification approprié en fonction de leurs exigences spécifiques en matière de sécurité et de l'utilisation prévue des dispositifs IoT.

Pour les fabricants de produits IoT, obtenir la certification PSA permet à leurs dispositifs IoT de servir d'ancrages de confiance dans la chaîne de confiance du système. Alors que les réglementations continuent d'évoluer et de se renforcer, les nouveaux designs doivent être conçus pour résister au temps en répondant aux exigences en Europe, en Amérique du Nord, dans la région Asie-Pacifique et en s'alignant sur les meilleures pratiques de l'industrie pour le développement de produits.

Selon une enquête récente auprès des fournisseurs de puces, le principal obstacle pour les clients dans le développement de produits sécurisés est le manque d'expertise en sécurité interne. Étant donné que les clients finaux l'exigent, les fabricants de produits doivent concevoir/développer des produits de confiance et réduire les risques et responsabilités pendant le développement des produits.

Image

A collection of partner and certification logos is displayed on a dark blue background, centered around the PSA Certified emblem featuring a lock icon. The image includes clearly visible names such as Arm, UL, SGS, CAICT, and others, indicating collaboration in security certification.

PSA Certified comprend des évaluations de sécurité indépendantes réalisées par des laboratoires accrédités, évaluant les caractéristiques de sécurité et la mise en œuvre des dispositifs IoT sur la base des exigences de sécurité PSA Certified. Grâce à ces évaluations, les organisations peuvent obtenir une évaluation objective des caractéristiques de sécurité de leurs dispositifs, démontrant leur conformité aux réglementations et normes.

PSA Certified est aligné avec les réglementations et normes existantes en matière de cybersécurité, telles que la directive européenne sur les réseaux et systèmes d'information (NIS) et les lignes directrices britanniques sur les bonnes pratiques en matière de sécurité des objets connectés (IoT) grand public. En respectant les principes de sécurité et les exigences définis par PSA Certified, les organisations peuvent garantir leur conformité à ces réglementations, démontrer leur engagement en faveur de la sécurité et établir une relation de confiance avec leurs clients, partenaires et autorités réglementaires. Il offre une approche structurée pour satisfaire les réglementations et normes spécifiques de cybersécurité pour les appareils IoT, permettant aux organisations de répondre plus efficacement au paysage complexe des exigences de sécurité des IoT.

Obtenir une certification PSA signifie la conformité aux réglementations de l'industrie. La certification PSA s'aligne activement sur les réglementations et normes à venir, y compris EN 303 645, NIST 8259A, SB-327, UK DCMS, ENISA (WIP), IEC 62443 4-2, CSA-311, et collabore avec des organisations telles que UL, ioXt, SESIP, DLC, Amazon Alexa, Munich RE, Matter, favorisant la collaboration et permettant la réutilisation.

Block diagram illustrates the STM32U5 microcontroller with an Arm Cortex-M33 core, showing its interaction with SRAM, peripherals, and a low-power timer. The diagram highlights DMA data transfer, wake-on-complete functionality, and a microphone input.

Arrow et PSA Certified vous aident à faire progresser votre conception

Les étapes du cadre PSA Certified incluent l'analyse des exigences de sécurité, la conception d'une architecture sécurisée, la création de la conception et la vérification de la conception sécurisée. Le cadre de sécurité IoT PSA Certified Niveau 1 pour les OEM contient dix objectifs principaux, notamment l'identification unique, le cycle de vie de la sécurité, l'attestation, le démarrage sécurisé, la mise à jour sécurisée, l'anti-retour arrière, l'isolation, l'interaction, le stockage sécurisé et les services cryptographiques/de confiance, offrant une voie pour des évaluations de sécurité IoT validées de manière indépendante.

Arrow Electronics collabore avec les applications certifiées PSA Certified Level 1, permettant aux OEM de l'utiliser comme base pour leurs conceptions de sécurité connectée. Les OEM peuvent adopter des conceptions de référence, superposer leur propriété intellectuelle et compléter l'ensemble de l'application via un processus de certification accéléré, leur permettant de lancer des produits sur le marché avec confiance, rapidité et sécurité.

PSA Certified, en collaboration avec Arrow Electronics, aidera les clients finaux à créer des solutions de collaboration en matière de sécurité uniques spécialement conçues pour l'IoT. Cette collaboration vise à libérer de nouvelles opportunités commerciales pour l'ensemble de l'écosystème, à fournir des solutions de bout en bout avec une sécurité intégrée, à répondre aux normes et réglementations critiques, à réduire le coût d'investissement pour le développement des fonctionnalités de sécurité, à étendre la gestion des affaires de la chaîne d'approvisionnement et de la logistique, et à obtenir une garantie grâce à une certification tierce.

Arrow Electronics a introduit le STM32U5 Secure Embedded Development Kit, qui inclut la prise en charge de TrustZone, de la connectivité WiFi et Bluetooth, ainsi que de multiples capteurs. Exploitant le microcontrôleur STM32U5 de STMicroelectronics, doté d'un cœur Arm Cortex-M33 à faible consommation, ce kit de développement sécurisé aide à intégrer la sécurité, une tâche complexe pour les développeurs IoT. Le design de référence d'Arrow Electronics convient aux applications embarquées sécurisées et a obtenu la certification PSA Certified Level 1, garantissant une collaboration fluide avec des fournisseurs de services cloud leaders tels qu'Amazon Web Services (AWS) et Microsoft Azure.

En revanche, Silicon Labs a lancé la plateforme Secure Vault™, composée de fonctionnalités de sécurité avancées de pointe pour répondre aux menaces IoT en constante évolution. La plateforme aide à réduire les vulnérabilités de sécurité dans l'écosystème IoT et minimise le risque de fuites de propriété intellectuelle ou de pertes de revenus dues à la contrefaçon. La technologie Secure Vault empêche les attaques logicielles locales et à distance évolutives et défend contre les attaques matérielles locales.

Les principales fonctionnalités de Secure Vault incluent la gestion sécurisée des clés, la prévention des retours en arrière, la protection contre les altérations, le débogage sécurisé verrouillé/déverrouillé, le lien sécurisé, le démarrage sécurisé avec RTSL, l'attestation sécurisée, les contre-mesures d'analyse de puissance différentielle (DPA) et un générateur de nombres aléatoires véritable (TRNG). De plus, Secure Vault a obtenu la certification PSA Certified Level 3 sur EFR32FG23B et EFR32MG21B, ce qui accélérera le processus de développement des produits des utilisateurs.

Conclusion

Avec l'adoption généralisée des applications IoT, la sécurité des appareils IoT est devenue une préoccupation majeure. Les appareils IoT certifiés PSA Certified indiquent que le produit répond aux exigences des normes de sécurité IoT. Cette certification augmente la valeur ajoutée du produit et renforce la confiance des consommateurs ainsi que leur volonté d'achat. Arrow Electronics collabore avec l'organisation PSA Certified pour aider les développeurs d'appareils IoT à obtenir la certification PSA Certified pour leurs produits. Elle fournit des solutions permettant d'accélérer le processus de développement de produit, faisant d'Arrow Electronics un partenaire idéal pour les développeurs de produits IoT.

Étiquettes d'article

Sécurité
Arrow Times
Internet of Things (IoT)
STMicroelectronics

Articles d'actualité associés

Afficher tout
PSOC Edge MCUs ML de nouvelle génération
PSOC™ Edge : MCUs ML de nouvelle génération

Microcontrôleurs haute performance, à faible consommation, sécurisés avec accélération de l'apprentissage automatique (ML) assistée par matériel.

Solutions pour la sécurité des véhicules et l'appariement des pièces automobiles
Solutions de sécurité des véhicules et d'appariement de pièces automobiles

Découvrez comment l'association de pièces automobiles améliore la sécurité des véhicules à l'ère de l'automatisation. Apprenez-en plus sur les solutions innovantes d'ADI pour garantir la sécurité et la performance.

Solutions de caméras de sécurité et de surveillance haute performance et haute résolution
Solutions de caméras de sécurité et de surveillance haute performance et haute résolution

Cet article présente le développement des applications de sécurité et de caméras de surveillance ainsi que les solutions proposées par onsemi pour ces applications.

Un terminal point de vente de marque SiliconMotion est affiché en premier plan. L'appareil dispose d'un écran orienté vers le client et est situé dans un environnement de supermarché ou épicerie bien éclairé. L'arrière-plan est flou, mettant en valeur des produits frais et des étagères de magasin. Le logo et le nom SiliconMotion sont clairement visibles dans le coin inférieur gauche.
Comment résoudre les défis d'intégrité des données pour des opérations de vente au détail sans friction

Découvrez comment la technologie de stockage intégré FerriSSD de SiliconMotion révolutionne le secteur du commerce de détail grâce à des mesures supérieures d'intégrité et de sécurité des données.

Gros plan sur des câbles dans la salle des serveurs
eBook : Centres de données et connectivité filaire

Découvrez comment créer un portefeuille de solutions de connectivité de datacenter basé sur les meilleures pratiques en matière de sécurité, d'infrastructure et d'évolutivité.

Graphique promotionnel présentant le microcontrôleur sans fil STM32WBA par STMicroelectronics.
Révolutionnez la connectivité avec STM32WBA, la série de microcontrôleurs sans fil de STMicroelectronics

Libérez la puissance de la série sans fil 32 bits STM32WBA pour des applications à haute vitesse, longue portée et ultra-efficaces

Une enceinte intelligente moderne est placée bien en vue sur un comptoir de cuisine blanc. À l'arrière-plan, une personne se penche en avant, suggérant une interaction ou une observation de l'appareil.
Comment faire en sorte que votre conception réponde aux exigences de cybersécurité

Découvrez les défis de sécurité IoT, les réglementations juridiques et les solutions proposées par Arrow Electronics et ST Microelectronics alors que les dispositifs IoT font face à des menaces croissantes de pirates informatiques.

Une icône de cadenas numérique lumineux est entourée d'une interface holographique avec des motifs circulaires et des visuels de données. L'image présente une main interagissant avec le cadenas, symbolisant la cybersécurité et la protection des données.
Sécurisez votre prochaine conception avec Microchip Technology

Dans cet article, explorez les solutions de Microchip pour sécuriser votre prochaine conception de microcontrôleur.

Un gratte-ciel moderne affiche le texte 'Microchip Smart Cities' en évidence sur sa façade en verre. Le bâtiment est sur fond d'un ciel bleu vif avec quelques nuages épars, mettant en valeur l'innovation urbaine.
Les solutions de Microchip pour les villes intelligentes, les villes connectées et les villes sûres

Regardez la vidéo de Microchip sur les Solutions pour Villes Intelligentes, Villes Connectées et Villes Sûres sur Arrow.com. En savoir plus sur la technologie des composants électroniques et trouvez des événements près de chez vous.