Publié le 02/10/2025 par Laurent PAITA.
Compte rendu Club Experts Cybersécurité #5
Session du 23 septembre 2025 au CEA Grenoble
Sécurité des composants et matériels embarqués : Se préparer au Cyber Resilience Act !
La matinée a débuté par une intervention de Christine Hennebert, experte en sécurité hardware au CEA-Leti, sur le thème : « La sécurité des composants et des matériels embarqués pour être conforme au CRA (Cyber Resilience Act) ».
Cette intervention a permis de décrypter les implications concrètes du CRA pour les industriels et concepteurs de systèmes embarqués :
- Un cadre réglementaire structurant : Le CRA impose des exigences de cybersécurité tout au long du cycle de vie des produits intégrant des éléments numériques. Il concerne aussi bien le matériel que le logiciel, et s’appliquera dès 2027.
- Des standards complémentaires : Le CRA s’inscrit aux côtés de référentiels comme la directive NIS2 ou la norme IEC 62443, cette dernière structurant les exigences en matière de sécurité pour les systèmes industriels (définitions de SL (Security Levels), exigences fonctionnelles en français, etc…).
Les défis propres à l’embarqué :
- Difficulté de mise à jour des firmwares en production
- Contraintes de ressources (énergie, mémoire, puissance)
- Problématique de traçabilité des composants tiers
- Besoin d’intégrer la sécurité dès la conception : secure boot, root-of-trust, isolation, gestion des privilèges...
Bonnes pratiques recommandées :
- Intégration de composants de sécurité matérielle (TPM, Secure Element, HSM, etc.)
- Définition d’une architecture sécurisée de référence (secure reference design)
- Gestion du cycle de vie complet : développement, déploiement, maintenance, retrait
- Sécurisation des protocoles de communication (TLS, BLE sécurisé, FTPS...)
L’intervention a également permis de découvrir des exemples concrets de composants cibles embarqués (STM32, ARM Cortex-M, etc...).
Pour aller plus loin sur le CRA
Visionnez le webinaire dédié (lien en fin d’article) présenté par Mikael Carmona, Directeur du laboratoire « Hardware Security » au CEA-Leti, Thomas Loubier, Ingénieur chercheur en cybersécurité des systèmes embarqués au CEA-Leti et Christophe Villemazet, Directeur du programme Pulse/Confiance numérique à Nanoelec.
La montée en puissance des réglementations (dont le Cyber Resilience Act européen – CRA) vise à renforcer la confiance des utilisateurs dans les systèmes numériques dans des domaines où la cybersécurité est incontournable : automobile, industrie, IoT, … A cette tendance s’associent les transitions et ruptures technologiques que sont notamment la cryptographie post-quantique et l’IA embarquée, qui définissent de nouvelles surfaces d’attaques
Après une introduction au CRA, le webinaire présente des exemples concrets d’outils et méthodes uniques pour la caractérisation sécuritaire et la sécurisation de systèmes embarqués. Le webinaire explique en quoi ces outils servent d’ores et déjà les entreprises et comment ils peuvent aider l’écosystème industriel à se préparer à ses nouvelles réglementations et transitions.
Visite du showroom Y.SPOT : Un espace au croisement de la recherche et de l’innovation
Après la conférence, les membres du Club ont visité le showroom Y.SPOT du CEA Grenoble, espace confidentiel dédié à l’open innovation et à la vulgarisation technologique.
Ce lieu d’exposition met en lumière des démonstrateurs concrets développés dans les laboratoires du CEA, à l’interface entre la recherche fondamentale, le prototypage industriel et les usages applicatifs.
Même si les éléments présentés sont soumis à des restrictions de diffusion (donc pas de photos), cette visite a été une occasion précieuse d’observer l’état de l’art en matière d’électronique embarquée, d’intelligence matérielle et de cybersécurité appliquée. Elle a permis d’illustrer les propos de la conférence dans un environnement concret et immersif.
Echanges
La matinée s’est conclue par un déjeuner convivial entre membres, propice aux retours d’expériences, discussions autour des cas d’usage spécifiques et identification de pistes de collaboration entre membres du Club Experts Cybersécurité.
Pour aller plus loin ⤵️
✅Téléchargez la présentation diffusée :
✅Présentation du CEA Leti : https://www.cea.fr/cea-tech/leti/
✅Texte officiel du Cyber Resilience Act (CRA) : https://eur-lex.europa.eu/eli/reg/2024/2847/oj/eng
✅Présentation synthétique du CRA par la Commission Européenne : https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
✅Webinaire Easytech concernant la mise en conformité aux réglementations cyber : https://irtnanoelec.fr/actualite/webinaires-easytech-2/
✅Introduction à la norme IEC 62443 : https://www.iec.ch/taxonomy/term/778
✅ Informations sur la série ISA/IEC 62443 : https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards
✅Publication récente sur l’adaptation / harmonisation de la norme IEC 62443 pour répondre aux exigences du CRA : https://www.cencenelec.eu/news-events/events/2025/2025-09-09-en-iec-62443-to-cra