Cybersécurité : tests d’intrusion « pentests » sur produits embarqués

Qu’est-ce qu’un test d’intrusion ?

Un test d’intrusion est un test de sécurité dans lequel l’évaluateur simule une attaque réelle du produit, en utilisant les mêmes outils et techniques que ceux utilisés par les attaquants (hackers). Il ne s’arrête pas seulement à l’identification des vulnérabilités connues mais cherche également des failles jamais identifiées auparavant.

Les tests d’intrusion sont également connus sous le nom de : pentest, audit de sécurité, piratage éthique, ou test de cybersécurité.

L’objectif principal est d’identifier les vulnérabilités et les failles des fonctions de sécurité d’une application, d’un système, d’un produit ou d’un réseau afin de les corriger.

Qu’est-ce qu’un test d’intrusion sur un produit embarqué ?

Les tests d’intrusion sur les produits embarqués ciblent des technologies spécifiques, tels que les appareils intelligents de type IoT, les dispositifs médicaux, les calculateurs industriels, les équipements électroniques, les véhicules autonomes, etc.

Ils concernent le produit lui-même (matériel et logiciel) ainsi que son environnement applicatif.

Image

Pourquoi réaliser des tests d’intrusion ?

Les systèmes sont vulnérables aux attaques matérielles et logicielles, et les tests d’intrusion remettent en cause les applications exécutées ainsi que les données manipulées par les systèmes embarqués. Grâce à ces tests, il devient alors possible de mesurer les niveaux de sécurité des systèmes, aussi bien sur le plan applicatif que structurel.

Les tests d’intrusion sont les principales techniques utilisées pour identifier et corriger les failles de cybersécurité qui sont bien souvent inconnues et complexes. L’objectif principal est de s’assurer de la résistance et de la robustesse des composants intégrés à tout type d'intrusion pour éviter toute compromission du produit.

Les pentests permettent d’atteindre les objectifs suivants :

• Evaluer l’efficacité des dispositifs de protection et de leur administration vis-à-vis de menaces telles que :
  • atteinte à la confidentialité d’informations sensibles,
  • atteinte à l’intégrité des données stockées ou échangées, vol d’informations,
  • attaques logiques (virus, chevaux de Troie, etc.) via l’installation de programmes permettant d’agir sur les systèmes compromis, exploitation du manque de protection pour ainsi rebondir sur d’autres machines du Système d’Information.
• Identifier les enjeux de sécurité des systèmes embarqués vis à vis des attaques physiques et logicielles.
• Evaluer les actions correctives à mener (renforcement de l’accès aux utilisateurs, restriction de mise à jour, cryptage, alerte de compromission, etc.).
• Définir et identifier le niveau de sécurité approprié en vue d’une certification.
• Avoir une approche globale de la sécurité de la carte électronique jusqu’au système dans sa globalité.

Méthodologie employée pour les tests d’intrusion

Nos pentesters utilisent une approche structurée pour identifier, caractériser et évaluer les vulnérabilités en matière de cybersécurité. Au cours d’un test d’intrusion, ils effectuent des tests spécifiques pour identifier ces vulnérabilités et les exploiter en toute sécurité afin de démontrer les risques potentiels.

À l’issue des tests, le client reçoit un rapport décrivant les vulnérabilités identifiées ainsi que les recommandations correctives.

Image

Contexte réglementaire

Nos pentesters intègrent les vulnérabilités les plus fréquentes répertoriées dans la norme OWASP pour identifier les failles de sécurité propres à chaque appareil intelligent, et s’appuient également sur les différentes réglementations telles que la Directive RED, le règlement Règlement Dispositifs Médicaux et le futur règlement IA qui introduisent peu à peu des exigences liées à la cybersécurité.

Selon les produits concernés et les besoins applicatifs, le LNE s’appuie sur ces normes et référentiels pour réaliser les tests de cybersécurité et démontrer leur conformité à ces réglementations :

• IEC 62443 :  norme sur la sécurité informatique des réseaux et des systèmes, notamment appelée par la norme médicale IEC/TR 60601-4-5:2021
• ETSI EN 303 645 : norme sur la sécurité des biens de consommation de type IoT
• UL 2900 : norme relative à la cybersécurité des dispositifs médicaux
• ISO 21434, etc.

Directive RED (relative aux équipements radioélectriques) :  à compter du 01/08/2024, tout équipement communiquant sur internet, de manière directe ou indirecte, et non concerné par un règlement spécifique, devra répondre aux nouvelles exigences de cybersécurité de la directive RED.

Méthodologie et prestations proposées

Le premier niveau d’analyse peut se faire via un audit de vérification du niveau de sécurité réel des systèmes et/ou applications à travers la simulation d’attaques, l’analyse de code ou l’audit de configuration des équipements. Cet audit peut ensuite être complété par des pentests plus invasifs.

 Un produit peut être étudié, audité et attaqué afin d’identifier ses différentes vulnérabilités, en ayant connaissance ou non de son design et de sa conception électronique (tests opérés en mode « boite noire » ou « boite grise »).

La durée et la complexité de l’étude sont proportionnelles à la quantité d’informations communiquées, avec des tests plus ou moins approfondis selon les besoins :

• Analyse des communications entre modules
• Analyse de la sécurité matérielle
• Analyse de la sécurité logicielle

Prestations complémentaires 

Les essais de radiofréquences

Vous pouvez assurer la fiabilité et la conformité de vos chipsets, antennes et modules de radiocommunication en réalisant des essais selon la directive RED 2014/53/EU ou en ayant recours à une évaluation technique proposée par le LNE.

Sont concernés par ces essais tous les équipements radio couverts par la bande 0 à 3 000 GHz, les radars, les détecteurs de mouvement et les récepteurs de radiodiffusion, qu’ils soient équipés de technologie  WiFi, Bluetooth, GSM, Lte, NB-IoT, NFC, RFID, etc.

Plus de détail sur nos essais de radiofréquences

La certification CB Sheme CYBR

La certification CB Scheme CYBR se base sur les normes de la série IEC 62443 qui répondent aux enjeux de cybersécurité, qu’il s’agisse d’équipements domestiques, de dispositifs médicaux, de calculateurs industriels, d’équipements électroniques :

• IEC 62443-3-3 : exigences relatives à la sécurité dans les systèmes et niveaux de sécurité,
• IEC 62443-4-1 : gestion des risques et des politiques de sécurité associée aux systèmes,
• IEC 62443-4-2 : mesures techniques de sécurité mises en place pour les systèmes.

Les évaluations menées peuvent porter sur la sécurité matérielle (composants électroniques par exemple), la sécurité logicielle ainsi que sur la communication entre modules (connectiques, modules de communication, …).

Le saviez-vous ? La certification CB Scheme CYBR vous ouvre les marchés de plus de 50 pays en une seule campagne d'essais.

Découvrir l'offre CB Scheme

Les essais en environnement

La démonstration de la conformité de vos produits peut nécessiter de passer par différents types d’essais : sécurité électrique, compatibilité électromagnétique, contraintes mécaniques (vibration, choc, endurance, etc.), contraintes climatiques (vieillissement accéléré, eau, brouillard salin, etc.)

Avec une offre complète d’essais en environnement, le LNE peut caractériser vos produits dans leur environnement d’utilisation fonctionnelle. La définition d’un plan de qualification adapté permet d’évaluer ses performances et de préconiser des mesures correctives si nécessaire.

Grâce à une pluridisciplinarité unique, ces essais peuvent être complétés par des mesures acoustiques, des caractérisations optiques, des essais de réaction au feu et/ou des analyses chimiques.

Les évaluations des systèmes d'intelligence artificielle

Lorsque votre produit ou vos procédés intègrent un algorithme d’IA , nos experts en évaluation de l’IA disposent d’une compétence en qualification de données (images, audio, vidéo) afin d’évaluer sa fiabilité et sa robustesse.