UE CRA et SBOM
Interlynk
Le Parlement européen a approuvé le Règlement sur la résilience numérique de l'UE (CRA) le 12 mars.
Le Conseil devrait formaliser son adoption en avril. Par conséquent, le CRA est prêt à entrer en vigueur dans une transition progressive à partir de fin 2025.
Le CRA vise à protéger les consommateurs et les entreprises des produits ayant une sécurité insuffisante. Pour y parvenir, le CRA impose des obligations en matière de cybersécurité sur tous les produits ayant des éléments numériques (‘PDE’) vendus commercialement sur les marchés de l'UE.
Le PDE fait largement référence aux logiciels et aux dispositifs connectés.
Le CRA fixe des exigences pour ces produits afin de -
Assurer la priorité à la sécurité tout au long du cycle de vie du produit
Répondre à des exigences essentielles spécifiques en matière de cybersécurité
Prévoir la gestion des vulnérabilités
Fournir des mises à jour de sécurité tout au long du Cycle de Produit
Notifier les incidents d'exploitabilité au CISRT dans les 24 heures
Construire, maintenir et utiliser SBOM pour soumission interne et réglementaire
SBOM dans CRA
Le texte de la CRA implique que la facture de logiciels de matériaux (SBOM) est un artefact de sécurité produit critique pour communiquer confidentiellement les risques de vulnérabilité entre les autorités de surveillance du marché (‘régulateurs locaux’) et les fabricants de produits.
(22) … Les autorités de surveillance du marché devraient être en mesure de demander aux fabricants de catégories de produits
avec des éléments numériques établis par l'ADCO de soumettre les factures de logiciels de matériaux (SBOM) qu'ils ont
générées conformément à ce Règlement. Afin de protéger la confidentialité des SBOM, les autorités de surveillance
du marché devraient soumettre les informations pertinentes concernant les dépendances à l'ADCO de manière anonymisée et agrégée.
Le SBOM est identifié comme l'artefact de base pour effectuer des analyses de vulnérabilités. Le SBOM est encouragé mais facultatif à rendre public. Le SBOM est également décrit comme un artefact qui aide à suivre les vulnérabilités nouvellement signalées et les risques de cybersécurité dans la chaîne d'approvisionnement logicielle.
(78) Afin de faciliter l'analyse des vulnérabilités, les fabricants devraient identifier et documenter les composants contenus dans les produits avec des éléments numériques, y compris en établissant un SBOM. Un SBOM peut fournir à ceux qui fabriquent, achètent et exploitent des logiciels des informations qui renforcent leur compréhension de la chaîne d'approvisionnement, ce qui présente de multiples avantages, en particulier cela aide les fabricants et les utilisateurs à suivre les vulnérabilités nouvellement émergentes connues et les risques de cybersécurité. Il est particulièrement important que les fabricants s'assurent que leurs produits avec des éléments numériques ne contiennent pas de composants vulnérables développés par des tiers. Les fabricants ne devraient pas être tenus de rendre le SBOM public.
Le format réel du SBOM, les éléments minimums et les procédures pour les notifications de vulnérabilité et d'exploitabilité dans le SBOM sont laissés à une commission. En préparation, le Bureau fédéral de la sécurité de l'information d'Allemagne (“BSI”) a déjà publié des directives techniques avec TR-03183 ici.
(119) Afin d'assurer des conditions uniformes pour la mise en œuvre de ce Règlement, des pouvoirs d'exécution devraient être confiés à la Commission pour spécifier la description technique des catégories de produits importants avec des éléments numériques énoncés dans un annexe de ce Règlement, spécifier le format et les éléments du SBOM, préciser en outre le format et la procédure des notifications des vulnérabilités activement exploitées et des incidents sévères ayant un impact sur la sécurité des produits avec des éléments numériques soumis par les fabricants, établir des spécifications communes couvrant les exigences techniques qui fournissent un moyen de se conformer aux exigences essentielles énoncées dans un annexe de ce Règlement, établir des spécifications techniques pour les étiquettes, pictogrammes ou toute autre marque liée à la sécurité des produits avec des éléments numériques, leur période de support et les mécanismes pour promouvoir leur utilisation et accroître la sensibilisation du public à la sécurité des produits avec des éléments numériques, préciser le formulaire de documentation simplifié ciblé sur les besoins des microentreprises et petites entreprises, et décider de mesures correctives ou restrictives à l'échelle de l'Union dans des circonstances exceptionnelles qui justifient une intervention immédiate pour préserver le bon fonctionnement du marché intérieur. Ces pouvoirs devraient être exercés conformément au Règlement (UE) n° 182/2011 du Parlement européen et du Conseil(34).
Le TR-03183 du BSI fait référence au SBOM produit avec CycloneDX 1.4 et supérieur et SPDX 2.3 et supérieur, laissant une certaine flexibilité dans la profondeur du SBOM.
La CRA est encore à un mois de son adoption et à plus d'un an et demi du début de sa mise en œuvre. Cependant, le texte approuvé de la CRA souligne profondément le rôle critique du SBOM dans la description, la communication et la surveillance des risques de sécurité des produits.