Isolation des logiciels open source par virtualisation pour se conformer au CRA

Le Cyber Resilience Act (CRA) est une mesure réglementaire introduite par l'Union européenne visant à renforcer les normes de cybersécurité pour tous les produits contenant des éléments numériques. La loi est entrée en vigueur en janvier 2024, les fournisseurs devant assurer la conformité d'ici janvier 2027. Bien que les logiciels open source (OSS) soient exemptés du CRA, les entreprises qui intègrent des OSS dans leurs offres commerciales assument la responsabilité de maintenir la sécurité de ces composants. Cette distinction place la charge sur les fournisseurs de surveiller les vulnérabilités et de fournir des correctifs en temps utile lorsque des OSS font partie de leurs produits.\n\nPour illustrer les défis posés par l'intégration d'OSS dans des environnements critiques, considérons un appareil embarqué de système de chauffage intelligent. Cet appareil gère l'unité de chauffage central d'une maison, un système dont le mauvais fonctionnement peut entraîner des dommages coûteux. Il surveille et ajuste également les températures de divers radiateurs. Le serveur web de l'appareil offre aux utilisateurs un accès aux informations de statut et aux options de contrôle via une interface utilisateur construite sur des OSS populaires comme le framework web express.js fonctionnant sur le runtime JavaScript node.js. Ce framework dépend d'environ 65 autres paquets OSS, soulignant la dépendance étendue aux composants open source dans de tels produits.\n\nExécuter le serveur web directement sur l'appareil embarqué introduit des risques de sécurité importants. Si le serveur gère la validation des entrées utilisateur et régule les configurations de chauffage, toute compromission pourrait permettre à un attaquant de manipuler dangereusement le système. En vertu du CRA, le fournisseur doit garantir un niveau élevé de cybersécurité, qu'il développe le logiciel en interne ou intègre des solutions tierces. Bien que les composants OSS eux-mêmes soient exemptés, l'utilisation commerciale transfère effectivement la responsabilité de la sécurité au fournisseur, qui doit alors se conformer aux exigences du CRA.\n\nUne approche d'atténuation consiste à séparer les fonctions de contrôle du chauffage. Le serveur web et ses dépendances peuvent gérer l'interface et le contrôle général, tandis qu'un composant sécurisé et minimal valide les commandes pour empêcher des configurations non sûres. Cette approche en couches limite l'impact d'un serveur web compromis mais laisse encore une large surface d'attaque pour l'escalade de privilèges, nécessitant des protections supplémentaires.\n\nLes technologies de virtualisation, en particulier les hyperviseurs, offrent une solution puissante en isolant les composants logiciels. Un hyperviseur exécute des logiciels dans des machines virtuelles (VM) isolées, restreignant l'interaction à des interfaces définies telles que l'émulation de périphériques virtuels. L'hyperviseur lui-même est classé par le CRA comme un produit critique, plaçant la responsabilité de sa sécurité sur son fournisseur. Lors de la connexion des VM à des réseaux externes, les fournisseurs peuvent utiliser des configurations de pare-feu sur l'hôte pour confiner strictement les communications des VM au trafic nécessaire, comme les requêtes du serveur web. Cette isolation réduit significativement le risque d'exploitation tout en maintenant la fonctionnalité réseau essentielle.\n\nCyberus fournit des solutions spécialisées pour aider les fournisseurs à répondre aux exigences du CRA. Leur Cyberus Hypervisor, combiné à CtrlOS—un système d'exploitation embarqué conçu pour la conformité au CRA—offre des fonctionnalités telles que des configurations de pare-feu auditable et d'autres capacités de durcissement de la sécurité. Ces outils aident les fournisseurs à intégrer en toute sécurité des logiciels open source dans leurs produits, réduisant la complexité et le coût associés à la garantie de conformité réglementaire. Les parties intéressées sont encouragées à engager des sessions personnalisées avec Cyberus pour explorer des stratégies de sécurité appropriées pour leurs systèmes embarqués.