Aller au contenu
Avanet
Cyber Resilience Act : Nouvelles obligations pour les fabricants et impact sur Sophos Firewall

Cyber Resilience Act : Nouvelles obligations pour les fabricants et impact sur Sophos Firewall

Le Cyber Resilience Act modifiera les règles applicables aux fabricants de produits numériques à partir de 2027. Ils devront fournir gratuitement les mises à jour de sécurité, définir clairement les périodes de support et démontrer la sécurité dès la conception. Pour les administrateurs IT, cela apporte plus de transparence ; pour les fournisseurs comme Sophos, cela implique d’adapter leur stratégie de mise à jour.

Bref aperçu

  • Le règlement de l’UE s’applique à partir du 11.12.2027
  • Au moins cinq ans de mises à jour de sécurité gratuites exigés
  • Obligation de conception sécurisée, de documentation et de processus de notification
  • Sophos doit adapter sa politique de mise à jour
  • Les administrateurs IT gagnent en sécurité de planification

Pourquoi le sujet est pertinent maintenant

Le Cyber Resilience Act est en vigueur depuis fin 2024. Les fabricants et les clients ont jusqu’en décembre 2027 pour adapter leurs processus. Pour la cybersécurité en Europe, cela crée un standard contraignant : les produits sans mises à jour de sécurité et aux informations de cycle de vie floues doivent disparaître.

Ce qui change ou ce qui est nouveau

  • Mises à jour de sécurité gratuites : les fabricants ne pourront plus réserver les correctifs critiques aux clients payants.
  • Périodes de support transparentes : au moins cinq ans de mises à jour, ou indication explicite d’une durée plus courte.
  • Marquage CE : à partir de 2027, le marquage CE attestera également la conformité en matière de cybersécurité.
  • Obligations de notification : les incidents de sécurité doivent être signalés aux autorités dans les 24 heures. Plus précisément : alerte précoce dans les 24 heures, notification complémentaire dans les 72 heures ; les destinataires sont le CSIRT désigné comme coordinateur et l’ENISA via la plateforme centrale.
  • Sanctions élevées : jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires en cas d’infraction.

Aperçu technique

Le Cyber Resilience Act s’adresse à tous les « produits comportant des éléments numériques ». Cela inclut les systèmes d’entreprise classiques tels que les pare-feu, les routeurs et les systèmes d’exploitation, mais aussi les appareils IoT grand public ainsi que les logiciels critiques pour la sécurité. Les exigences concernent donc pratiquement tout l’écosystème des produits connectés. Dans le cadre du Cyber Resilience Act, les fabricants doivent remplir les obligations suivantes :

  • Démontrer la sécurité dès la conception, par exemple via des paramètres par défaut sécurisés, le chiffrement, des protocoles vérifiés et un durcissement contre les attaques DoS.
  • Tenir une Software Bill of Materials (SBOM) détaillant tous les composants, bibliothèques et dépendances pertinents afin d’assurer la transparence pour les mises à jour et la gestion des vulnérabilités.
  • Proposer des options de mise à jour automatique, au moins pour les correctifs de sécurité critiques, et garantir que ces mises à jour puissent être installées sans interruption ou perturbation significative. Pour les environnements professionnels, une option d’installation contrôlée et planifiée doit également exister.
  • Conserver la documentation pendant dix ans, y compris les évaluations des risques, les rapports de test et les déclarations de conformité, afin qu’un audit puisse retracer à tout moment comment la sécurité a été assurée.
  • Mettre en place un processus de gestion des vulnérabilités et un point de contact pour les problèmes de sécurité, afin que chercheurs externes ou clients puissent signaler immédiatement les failles découvertes.
  • Implémenter des mécanismes de mise à jour sécurisée, par exemple signature et vérification, afin d’exclure toute manipulation pendant la distribution.

Ces exigences détaillées montrent que le Cyber Resilience Act ne fixe pas seulement des exigences minimales, mais impose une gestion complète de la sécurité, du développement à l’exploitation en passant par toute la période de support.

Guide pratique pour les administrateurs informatiques

Préparation :

  • Examiner les processus d’achat : à l’avenir, n’acheter que des produits conformes au CRA.
  • Documenter les informations de cycle de vie et les compléter dans la gestion des actifs.
  • Clarifier les responsabilités au sein de l’équipe informatique et définir les rôles pour la gestion des mises à jour.
  • Aligner les directives internes sur les exigences du CRA et compléter les processus manquants.

Mise en œuvre :

  • Planifier régulièrement les mises à jour de sécurité, même lorsque les mises à jour automatiques sont disponibles.
  • S’abonner aux notifications des fabricants et les intégrer dans les processus internes.
  • Utiliser des environnements de test pour vérifier les mises à jour avant le déploiement sur les systèmes critiques.
  • Utiliser les interfaces avec les outils de billetterie ou de surveillance pour documenter automatiquement les processus de mise à jour.

Validation :

  • Tester les correctifs après l’installation.
  • Vérifier les journaux pour détecter les anomalies après la mise à jour.
  • Effectuer des analyses de réseau et de sécurité pour s’assurer que les vulnérabilités connues ont été corrigées.
  • Générer des rapports de conformité qui répondent aux exigences du CRA.

Rollback et monitoring :

  • Maintenir des plans de rollback pour les systèmes critiques.
  • Utiliser le monitoring pour détecter rapidement les pannes après les mises à jour.
  • Définir des alertes pour que les erreurs critiques soient immédiatement visibles.
  • Fournir des listes de contrôle d’urgence pour rétablir rapidement les opérations en cas d’urgence.

Recommandations et bonnes pratiques

ThèmeRecommandation
Choix des produitsPréférer les fabricants conformes au CRA
Durée du supportChoisir des appareils avec au moins 5 ans d’engagement de mise à jour
Gestion des correctifsÉtablir une gestion centralisée des mises à jour
DocumentationInclure la SBOM et les données du cycle de vie dans l’inventaire
CommunicationAutomatiser les notifications de sécurité du fabricant

Impact sur Sophos et d’autres plateformes

Sophos a modifié sa politique de mise à jour du firmware en 2022 : depuis, les mises à jour ne sont disponibles qu’avec une licence de support valide. Les correctifs de sécurité et les mises à jour de signatures sont restés gratuits, contrairement au firmware régulier. Le Cyber Resilience Act oblige les fabricants comme Sophos à repenser cette séparation. À l’avenir, il faudra probablement distinguer les « mises à jour fonctionnelles » payantes des « correctifs de sécurité » gratuits.

Pour les administrateurs IT, cela signifie :

  • Plus de clarté sur les périodes de support des appliances.
  • Accès fiable aux correctifs critiques de sécurité, même sans licence.
  • Plus grande transparence sur le cycle de vie et les dates de fin de vie.

Questions fréquentes

Le Cyber Resilience Act s’applique-t-il également aux produits existants ?

Non, il s’applique aux produits nouvellement mis sur le marché à partir du 11.12.2027.

Qu’advient-il des anciens appareils sans mises à jour ?

Les appareils sans support de sécurité ne seront plus conformes au CRA après l’expiration de la période de support et présenteront des risques.

Les mises à jour doivent-elles être installées automatiquement ?

Pour de nombreux appareils grand public, oui. Pour les pare-feux ou les systèmes critiques, une option manuelle avec notification est suffisante.

Quelles sanctions menacent les fabricants ?

Jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial.

Quel rôle joue Avanet ?

Avanet soutient la planification du cycle de vie, les stratégies de mise à jour et la sélection de produits conformes au Cyber Resilience Act.

Quelles données sont pertinentes pour le Cyber Resilience Act ?

Le règlement est en vigueur depuis le 10.12.2024 ; la plupart des obligations s’appliquent à partir du 11.12.2027. Les obligations de notification commencent déjà le 11.09.2026. Sources : EUR-Lex et plusieurs cabinets d’avocats.

Conclusion

Le Cyber Resilience Act crée à partir de 2027 un cadre contraignant pour la cybersécurité. Pour Sophos et les autres fabricants, il implique des ajustements des stratégies de mise à jour et des périodes de support. Pour les administrateurs, il apporte davantage de fiabilité dans les mises à jour et la planification du cycle de vie. Le moment est venu d’aligner les processus d’achat et les stratégies de mise à jour sur les exigences du CRA.

Liens complémentaires

Patrizio

Patrizio

Patrizio est un specialiste reseau experimente, axe sur les firewalls Sophos, les switches et les points d'acces. Il accompagne les clients et les equipes IT dans la configuration, la migration et une segmentation reseau propre.