CLR Labs et CNPP : nouvelle alliance pour la cybersécurité des solutions connectées

Dans cette interview, Stéfane Mouille, Directeur du Cabinet Louis Reynaud et Ronan Jezequel, Directeur Développement et Innovation de CNPP, expliquent les motivations et les enjeux du partenariat récemment établi entre CLR Labs et CNPP.

L'objectif ? Réaliser des essais de robustesse face aux attaques numériques sur l'ensemble des solutions de sécurité connectées.

Cette collaboration va permettre d'accompagner les industriels dans leurs développements liés à la cybersécurité appliquée aux technologies de sécurité, dans un contexte réglementaire en constante évolution.

Grâce à leurs expertises complémentaires, CLR Labs et CNPP apportent une capacité d'innovation et une adaptation à tout type de vulnérabilités, pour des évaluations plus performantes et fiables.

Ronan Jezequel – CNPP a développé ces dernières années des essais pour évaluer la cybersécurité, la robustesse aux attaques numériques de toutes les solutions de sécurité qui aujourd’hui sont connectées.

L’objectif de ce partenariat, c’est de pouvoir étendre et mettre à jour nos méthodes d’essai aujourd’hui appliquées dans le cadre, on le verra plus tard, d’évolutions règlementaires en cours. 

Nous avons choisi CLR Labs en tant que partenaire, car c’est à la fois un puriste qui bénéficie de toutes les reconnaissances au plus haut niveau pour ses capacités en termes de réalisation d’essai en cybersécurité, mais aussi parce que leur intérêt, leurs centres d’intérêt technologiques sont très proches des nôtres, avec des spécialités dans le domaine de la sûreté, notamment du contrôle d’accès et de la biométrie.

Stefane Mouille – En complément des propos de Ronan, nous sommes très heureux de pouvoir travailler avec le CNPP qui est reconnu au niveau international sur la partie protection incendie et système d’alarme.

En effet, notre structure permet d’apporter de la réactivité aussi et de l’expertise technique au CNPP dans le cadre des évaluations cybersécurité sur des produits à haut risque, ce qui permet aussi d’avoir une approche complémentaire entre le CNPP et CLR Labs.

Ronan Jezequel -  Ce partenariat va nous permettre d’améliorer la façon dont nous réalisons ces évaluations. Tout simplement parce qu’en plus d’être capable de réaliser les évaluations suivant le socle déjà existant, déjà défini, CLR Labs dispose d’une capacité particulière d’innovation, une capacité d’adaptation à tous types de vulnérabilités qui va nous permettre d’aller encore plus loin dans la façon dont sont conduits les essais menant à des potentielles certifications de produits.

Stéfane Mouille -  En effet, nous disposons de méthodologies de tests cybersécurité. La cybersécurité est une matière, on va dire, qui évolue rapidement.

C’est souvent le jeu entre le chat et la souris, entre la personne qui attaque et la personne qui met les protections pour faire des contre-mesures cybersécurité. Et grâce aux méthodologies d’évaluation du CNPP qui sont adaptées au niveau de sécurité demandé par les produits qui rentrent dans le cadre d’évaluation, nous sommes en bonnes capacité de pouvoir réaliser les tests, de préparer une évolution, notamment pour tenir compte des menaces diverses et variées. 

Ronan Jezequel -  Si on parle purement de l’aspect évaluation technique, tous les produits aujourd’hui couverts par nos certifications et incluant cette couche d’évaluation cyber vont en bénéficier.

On parle des centrales d’alarme pour la détection d’intrusion, on parle également des caméras de vidéosurveillance ou des serrures connectées. Toutes les solutions de sécurité et de sûreté aujourd’hui sont soumises à ces essais et vont bénéficier de cette collaboration.

De façon plus large on peut dire que toutes nos prestations de certification produits et aussi de certification de services qui vont s’appuyer sur les évolutions réglementaires de la cybersécurité vont bénéficier du partenariat que nous avons mis en place.

Stéfane Mouille - Tout d’abord, on travaille au niveau européen, au niveau des suivis de veille réglementaire dans tous les sujets de cybersécurité, qui est un sujet qui est en pleine expansion, qui a commencé avec la directive NIS (Network and Information Systems) il y a quelques années, qui passe sur la partie v2 NIS 2, le Cyber Resilience Act qu’on appelle CRA, etc…

Et ensuite on travaille sur la partie normalisation qui complémente la partie réglementaire européenne, et on apporte ce support de veille réglementaire au CNPP, qui va permettre à Ronan de réaliser des tests.

Ronan Jezequel – Ce que nous allons faire c’est recueillir les informations et nous nourrir de ces évolutions réglementaires pour faire évoluer les référentiels de base, aidant à nos certifications de produits et de services, donc majoritairement le Cyber Résilience Act et ses normes d’application pour la partie produit. 

On va incrémenter nos méthodes d’essai pour que demain une conformité à nos méthodes valent une conformité réglementaire. Et concernant la directive NIS 2, nous allons faire évoluer nos référentiels d’installation, de déploiement des systèmes de sécurité sûreté pour que demain nos installateurs certifiés puissent donner des gages de garantie quant à la conformité NIS 2 de leurs clients.

Ronan Jezequel -  De façon très générale, ce partenariat nous impacte dans la maîtrise des risques de deux façons. Premièrement, il va nous aider à renforcer nos référentiels, pour l’évaluation technique des produits et en nous aidant à les mettre à jour vis-à-vis d’un contexte réglementaire en pleine évolution. 

Et il va également renforcer notre capacité à développer, à innover et à produire de nouvelles références, de nouveaux essais pour couvrir les produits de sécurité sûreté face aux enjeux de demain. 

On peut parler par exemple de l’intelligence artificielle qui a une place de plus en plus grande dans le fonctionnement des produits de sécurité sûreté et que nous nous devons d’être en mesure d’évaluer demain. 

Stéfane Mouille – Et nous apportons cette partie expertise technique dans le domaine de la cybersécurité qui est un monde en pleine évolution, tout en gardant les procédures et les méthodologies d’évaluation définies par le CNPP.  Et donc en termes d’analyse de risques, ça permet d’avoir justement le risque cyber couvert dans le monde de la protection physique et dans la protection des bâtiments et des personnes en pleine cohérence. 

On est en train de fusionner deux mondes différents, le monde numérique et le monde physique, la sécurité, la safety et la cybersécurité, et on peut le faire d’une façon complétement harmonieuse. 

Ronan Jezequel – CNPP et CLR Labs se sont donc trouvés pour la définition d’un avenir commun sur le socle d’évaluation cybersécurité des solutions de sécurité et de sûreté. 

Stéfane Mouille – C’est quand le Sud rencontre la Normandie.