Cybersécurité des objets connectés et conformité CRA – Sensibilisation

JOUR 1

• Introduction au CRA et contexte réglementaire européen
  • Introduction Générale
    • Cybersécurité, menace, risque, vulnérabilité, safety vs security, 10 vulnérabilités connues
  • Origine du Cyber Resilience Act : du plan « Cybersecurity Strategy 2020 » au règlement 2024/2847
  • Déclaration UE de conformité et marquage CE
  • Ecosystème réglementaire associé
    • Directive RED (art. 3.3 d/e/f)
    • Directive NIS2
    • Réglementation Machine
  • Périmètre d’application
  • Ses objectifs clés du CRA :
    • Sécurité dès la conception
    • Mise à jour continue
    • Responsabilisation des fabricants
  • Normes horizontale et verticales
    • Rôle des normes dans la démonstration de conformité

• Champ d’application, définitions et cas particuliers
  • Définition : « produit comportant des éléments numériques »
    • Hardware, firmware, logiciel autonome, SaaS
  • Typologie des connexions
    • Connexion directe / indirecte / logique / physique
  • Cas particulier d’interprétation :
    • Firmware intégré sans interface IP
    • Plateformes cloud ou SaaS
    • Produits purement logiciels et open source
  • Mise sur le marché et mise à disposition

• Cycle de conformité CRA et gestion des obligations
  • Chronologie :
    • Conception → analyse de risque → mise sur le marché → support → fin de vie
  • Obligations par acteur :
    • Fabricant / importateur / distributeur
  • Gestion du support (≥ 5 ans ou durée d’usage)
  • Notification ENISA/CSIRT (Art. 14) et conditions de report

JOUR 2

• Classification des produits et modules d’évaluation
  • • Distinction entre les trois catégories définies par le CRA :
      • Produits standards
      • Produits importants
      • Produits critiques
    • Logique de “core functionality” :
      • Produit multifonction vs produit à fonction principale unique
      • Impact sur le choix du module d’évaluation

• Exigences essentielles du CRA – Annexe I
  • Partie I – sécurité du produit : Exigence + Correspondances normatives
    • Authentification, intégrité, protection des données, logs, confidentialité
  • Partie II – gestion des vulnérabilités : Exigence + Correspondances normatives
    • Processus de patch et notification

• Méthodologie d’analyse de risque CRA
  • Alignement avec IEC 62443-4-1 (cycle SDLC sécurisé)
  • Alignement avec PR40000‑1‑2
  • Analyse des menaces appliquées au produit
    • STRIDE, EBIOS, TARA
  • Lien entre risques et exigences de l’Annexe I

Aucune expérience en cybersécurité nécessaire. Néanmoins des connaissances sur les réseaux et les architectures d’objets connectés sont souhaitables.

Si en distanciel :

• Un accès internet stable via Ethernet ou Wi-Fi avec un débit correct (1.2 Mb/s en débit descendant minimum est recommandé)
• Un PC / MAC avec l’outil Teams d’installé ainsi qu’un accès non restreint à internet.

Cette formation vise les personnes travaillant dans le milieu des produits connectés et notamment celles qui participent à des projets devant être en conformité avec les nouvelles réglementations européennes en lien avec la cybersécurité, comme le Cyber Resilience Act. Elle peut être dispensée à un public sans première connaissance de la cybersécurité, comme des membres de la direction ou le service qualité.

Expert en cybersécurité IoT et embarqué.

• Présentation PowerPoint projetée (support en français)
• Plateforme web interactive (Klaxoon)

Evaluation en début et fin de formation, quizz…

5 jours ouvrés avant le début de la formation (si financement OPCO).

Une attestation de formation conforme aux dispositions de l’Article L.6353-1 alinéa 2 remise au stagiaire.