Les DSI encore peu impliqués dans le Cyber resilience act - Le Monde Informatique

Article rédigé par Mary Branscombe, CSO (adapté par E.Delsol) - Le Monde Informatique - 20/05
Les premières exigences du Cyber resilience act européen entrent en vigueur en septembre. Il demandera progressivement aux entreprises de produire...
PublicitéContrairement à la plupart des réglementations en matière de cybersécurité, le règlement européen sur la cyber-résilience (CRA, Cyber resilience act) se concentre sur la sécurité des produits plutôt que sur les processus ou la certification. Il étend le marquage CE des produits physiques aux logiciels, aux firmwares, aux services back-end et à tout élément connecté à un réseau. Il intègre les bonnes pratiques existantes, impose des cycles de vie minimaux pour le support des produits et pourrait pousser les organisations à nouer des relations plus étroites avec la communauté open source. La mise en place du CRA sera progressive, mais dès le 11 septembre prochain, il exigera la mise en place de procédures de signalement des vulnérabilités et des incidents. Le CRA contraint les organisations à signaler les vulnérabilités activement exploitées dans un de leur produit dans les 24 heures et à fournir un rapport complet dans les trois jours. Des obligations qui pourraient se révéler difficiles à respecter, même pour celles utilisant déjà des nomenclatures logicielles (SBOM, software bill of materials). Si la quasi-totalité des entreprises citées dans le récent rapport de l'éditeur Cloudsmith sur la gestion des artefacts logiciels, génèrent des SBOM, seules un quart d'entre elles le font automatiquement, et non manuellement ou à la demande. Plus de la moitié indiquent qu'un rapport complet exigerait un investissement considérable en temps et en ressources, tandis que moins d'un tiers se disent confiantes d...
[Courte citation de 8% de l'article original]
Loading...