Cybersécurité directive RED - Conformité EN 18031 - Sécurité by design
Protégez vos produits connectés, garantissez leur conformité à la directive RED
La cybersécurité est devenue une exigence incontournable pour la mise sur le marché européen des équipements radio et IoT. Elle vise la sécurité des équipements et de leurs utilisateurs tout comme la protection des données. Le Groupe Emitech propose une offre d’essais complète pour répondre aux exigences du règlement délégué (UE) 2022/30 de la Directive RED, applicable à partir du 1ᵉʳ août 2025.
Fabricants d’objets connectés, chefs de projet R&D, responsables qualité ou cybersécurité : sécurisez vos produits dès la conception, validez leur robustesse, et garantissez leur conformité réglementaire grâce à nos prestations.
Cybersécurité et conformité Iot, nos services
1. Diagnostic de conformité et analyse de risque
- Diagnostic initial permettant de déterminer si des produits IoT sont concernés par les exigences de cybersécurité imposées par la Directive RED (articles 3.3 d, e, f) et les normes associées EN 18031-x.
- Diagnostic approfondi de la conformité aux normes EN 18031-x, accompagné de l’élaboration de la documentation requise (QIRE et DCMOE) pour l’évaluation de la conformité de vos produits.
- Analyse de risque structurée selon la méthodologie EBIOS.
- Sensibilisation de vos équipes aux exigences de cybersécurité définies dans la Directive RED.
Nous vous offrons une vision claire de votre niveau de conformité, identifions les écarts éventuels et vous guidons vers une solution adaptée pour sécuriser vos équipements connectés dès leur conception.
2. Essais de cybersécurité et tests d’intrusion
- Evaluations de cybersécurité approfondies conformément aux exigences des normes EN 18031-x applicables aux équipements radio et objets connectés, dans le cadre de la directive RED 2014/53/UE (articles 3.3 d, e, f).
- Essais réalisés dans un environnement sécurisé selon un plan de test normatif structuré qui couvre l’ensemble des mécanismes de sécurité définis par la norme EN18031-x :
- ACM (Contrôle d’accès) : vérification de la gestion des accès aux actifs sensibles par des entités autorisées.
- AUM (Authentification) : évaluation de la robustesse des mécanismes d’authentification (mots de passe, certificats, tokens).
- SUM (Mise à jour sécurisée) : vérification de l’intégrité, authenticité et contrôle des mises à jour.
- SSM (Stockage sécurisé) : tests de la protection des actifs stockés contre les accès non autorisés.
- SCM (Communication sécurisée) : validation de la confidentialité, de l’intégrité, de l’authenticité des échanges et de la protection anti-rejeu.
- LGM (Journalisation) : vérification de la traçabilité des événements de sécurité.
- DLM (Suppression) : capacité à supprimer de manière sécurisée les données sensibles.
- UNM (Notification utilisateur) : contrôle de la capacité à notifier l’utilisateur lors d’événements de sécurité.
- RSM (Résilience) : résistance aux attaques de type DoS/DDoS.
- NMM (Surveillance réseau) : détection d’activités réseau anormales ou malveillantes.
- TCM (Contrôle du trafic) : analyse du comportement du trafic pour prévenir les abus.
- CCK (Clés cryptographiques) : sécurité des clés (absence de valeurs par défaut, bonnes pratiques de génération).
- GEC (Capacités générales) : conformité de l’équipement avec les exigences générales (matériel/logiciel à jour, services exposés limités).
- CRY (Cryptographie) : évaluation de l’usage de techniques cryptographiques robustes et conformes aux bonnes pratiques.
- Mise en œuvre des tests d’intrusion réalistes selon les approches des boîtes blanches, grises et noires (White Box, Grey Box et Black Box), pour simuler différents niveaux d’accès et évaluer la résistance réelle aux attaques.
- Chaque campagne d’essais se conclut par la remise d’un rapport technique détaillé incluant les non-conformités détectées, les niveaux de sévérité et des recommandations concrètes d’amélioration.
3.Audits documentaires et fonctionnels
- Analyse de conformité des documents fournis (QIRE, DCMOE, manuels, spécifications techniques, procédures de mise à jour, sécurité des accès, etc.) par rapport aux exigences des normes EN 18031-x et de la directive RED. L’objectif est de vérifier que les mécanismes de sécurité sont correctement spécifiés, documentés et traçables.
- Evaluation du produit en situation réelle pour confirmer l’existence, la mise en œuvre et l’efficacité des mécanismes déclarés dans la documentation
Méthodologie
- Revue croisée documentation/produit
- Vérification de la cohérence entre les spécifications techniques et les observations concrètes
Objectif
- Identifier les écarts entre ce qui est déclaré et ce qui est réellement mis en œuvre, tout en vous accompagnant dans la mise en conformité progressive.
4. Nos moyens d’essai pour garantir une évaluation exhaustive
- Laboratoire sécurisé
Les essais sont réalisés dans un environnement de test sécurisé, isolé et conforme aux bonnes pratiques en cybersécurité, garantissant la confidentialité des données et la reproductibilité des tests.
- Outils et plateformes utilisés
Nous mobilisons un ensemble d’outils spécialisés pour couvrir l’ensemble des mécanismes exigés par les normes EN 18031-x :
- Nmap : cartographie réseau, détection de services exposés
- Wireshark : capture et analyse de trafic réseau
- Metasploit Framework : simulation d’intrusions réalistes (black/grey/white box)
- Burp Suite : analyse de failles sur les interfaces Web/API
- OpenVAS : détection de vulnérabilités connues
- Hydra : tests de force brute sur les systèmes d’authentification
- Binwalk & Firmware Analysis Toolkit : analyse de firmware (extraction, reverse engineering)
- OpenSSL : vérification des connexions TLS/SSL
- Bancs de tests personnalisés
Mise en place de scénarios d’évaluation adaptés à l’architecture de chaque produit
Ces moyens nous permettent de réaliser des essais représentatifs des menaces réelles et d’évaluer les produits dans les conditions les plus exigeantes.
Les types d’essais réalisés sur vos produits
Afin de garantir la conformité aux exigences de cybersécurité de la directive RED et des normes EN 18031-x, nous réalisons une série d’essais techniques et fonctionnels couvrant les aspects suivants :
- Tests d’accès et d’authentification
Vérification des mécanismes de contrôle d’accès (ACM) et d’authentification (AUM).
- Tests de mise à jour sécurisée (SUM)
Évaluation de l’intégrité, de l’authenticité et de la sécurité du processus de mise à jour.
- Tests de stockage sécurisé (SSM)
Contrôle de la protection des données sensibles persistantes.
- Tests de communication sécurisée (SCM)
Vérification de la confidentialité, de l’intégrité et de la protection contre les attaques de type rejeu.
- Tests de résilience (RSM)
Simulation d’attaques DoS/DDoS pour évaluer la robustesse du système.
- Tests de journalisation et de suppression (LGM/DLM)
Vérification de la traçabilité des événements et de la suppression sécurisée des données.
- Analyse de la configuration réseau (NMM/TCM)
Détection de comportements anormaux ou malveillants via interfaces réseau.
- Tests cryptographiques (CCK/CRY)
Évaluation de la gestion des clés, de la cryptographie utilisée et de sa conformité aux bonnes pratique
Pourquoi choisir le Groupe Emitech ?
- Sécuriser vos produits face aux menaces cyber de plus en plus sophistiquées.
- Vous accompagner vers la conformité à la Directive RED amendée et aux normes EN 18031.
- Offrir des prestations d’essais et d’accompagnement hautement spécialisés pour vos équipements connectés.
- Intégrer la cybersécurité dès la phase de conception pour réduire vos risques futurs (« security by design »).
- Emitech Certification est notifiée pour évaluer la conformité des équipements radioélectriques aux exigences de cybersécurité.
Contactez-nous pour un devis
Anticipez les exigences réglementaires et protégez vos produits dès aujourd’hui
Contactez-nous pour un devis personnalisé et sécurisez vos équipements face aux nouvelles obligations de cybersécurité du marché européen.