Sécurité informatique des produits industriels : le LNE et LEXFO intègrent le CB Scheme CYBR pour répondre aux enjeux internationaux

La sécurité informatique des produits, enjeu industriel et international

Avec la généralisation de l’utilisation d’équipements électriques et électroniques, tous les secteurs industriels sont aujourd’hui concernés par la cybersécurité. La montée en puissance du pilotage à distance des équipements ainsi que de l’IoT (Internet of Things) accentuent les risques d’atteinte à la cybersécurité, aussi bien dans le domaine de la santé, de l’énergie, de l’instrumentation, de la logistique ou encore de la domotique.

Incidents, transmission accidentelle de données, interruption de service, ou situations plus critiques tels que l’espionnage industriel ou la prise de contrôle…, les risques liés à la sécurité des produits et des systèmes embarqués sont croissants. Les besoins des industriels de protéger l’intégrité des données et de veiller au bon fonctionnement du produit ou d’un équipement constituent un enjeu fort.

L’alliance et la complémentarité de deux partenaires experts dans leur métier

Ce partenariat s’articule autour des rôles distincts des deux acteurs : le LNE opère au sein du CB Scheme CYBR en tant qu’organisme de certification (National Certification Body – NCB) avec l’entreprise LEXFO, spécialisée dans l’évaluation des risques liés à la cybersécurité qui intervient en tant que laboratoire d’essais (CB Testing Laboratory – CBTL).

En tant que CBTL, LEXFO délivrera des rapports d’essais reconnus par le LNE, qui en tant qu’organisme de certification (NCB) délivrera des certificats CB Scheme reconnus dans tous les pays membres de l’IECEE (International Electrotechnical Commission).

Ce partenariat permettra aux industriels de répondre aux normes de la série IEC 62443, et en particulier les normes IEC 62443-3-3 (exigences relatives à la sécurité dans les systèmes et niveaux de sécurité), IEC 62443-4-1 (gestion des risques et des politiques de sécurité associée aux systèmes) et IEC 62443-4-2 (mesures techniques de sécurité mises en place pour les systèmes). Ces normes répondent aux enjeux de sécurité informatique des réseaux et des systèmes, qu’il s’agisse d’équipements domestiques, de dispositifs médicaux, de calculateurs industriels ou d’équipements électroniques.

Les évaluations menées peuvent porter sur la sécurité matérielle (composants électroniques par exemple), la sécurité logicielle ainsi que sur la communication entre modules (connectiques, modules de communication, …). Ce périmètre sera ultérieurement complété par la norme ETSI EN 303 645 appliquée à la sécurité des biens de consommation de type IoT.

Le système de certification CB Scheme

Le CB Scheme a été mis en place par l’IECEE pour simplifier les procédures d’accès des produits électriques et électroniques aux marchés internationaux.

Il a pour principe l'acceptation mutuelle de rapports d’essais et de certificats traitant de la sécurité des composants, équipements, produits électriques et électroniques au niveau mondial (54 pays membres dont les USA, le Canada, le Japon, la Chine…), et permet de valider la conformité d’un produit aux exigences de normes internationales.

Le bénéfice de ce système pour les industriels qui souhaitent accéder à plusieurs marchés au niveau mondial, est, outre l’obtention de marques de certification internationales, la réduction des coûts et des délais.

Le LNE, laboratoire d’essais et organisme certificateur majeur dans les domaines clés de l’industrie (médical, métrologie légale, technologies de l’information, bâtiment…) est engagé dans le domaine de la sécurité de l’information depuis de nombreuses années. Il propose une offre étendue de certifications et de qualifications destinées à protéger au mieux les produits et les systèmes, données informatiques et informations sensibles. Intégré au CB Scheme depuis 2007 et reconnu pour en délivrer les certificats, le LNE, par cette extension d’acceptation, délivre aujourd’hui des certificats sur la cybersécurité (CYBR), les technologies de l’information et les appareils audio/vidéo (ITAV), les équipements électromédicaux (MED), la compatibilité électromagnétique (EMC) et les équipements de mesure et de laboratoire (MEAS). Le LNE, acteur impliqué dans la cybersécurité depuis de nombreuses années, a été notamment reconnu par l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) en 2018 en tant que centre d’évaluation des prestataires de services selon les référentiels de l’ANSSI.

LEXFO, cabinet indépendant de conseil et d'expertise en cybersécurité, fondé en 2011 accompagne ses clients dans la protection de leur patrimoine informationnel au travers de prestations d’évaluation de la sécurité, de prévention de la menace, de réponse à incident et de formation et sensibilisation. LEXFO bénéficie d’une expérience significative et reconnue dans le domaine de la cybersécurité. Depuis 2014, LEXFO est un Centre d’évaluation de la sécurité des technologies de l’information (CESTI) agréé par l’ANSSI pour mener des évaluations de sécurité dans le cadre du schéma de certification de confiance CSPN (Certification de sécurité de premier niveau). Depuis juin 2023, LEXFO est également un Prestataire de confiance en matière de réponse aux incidents de sécurité (PRIS) qualifié