Electronique Mag - Le journal de l'électronique.

Arrow Electronics collabore avec NXP Semiconductors afin d’aider ses clients à se préparer au Cyber Resilience Act (CRA) de l’Union européenne. Celui-ci définit des exigences essentielles et obligatoires en matière de cybersécurité pour les produits comportant des éléments numériques commercialisés dans l’Union européenne. Avec une entrée en application complète prévue le 11 décembre 2027 et de fortes sanctions en cas de non-conformité, les fabricants devront démontrer que la cybersécurité est intégrée à leurs produits, depuis la conception jusqu’au déploiement et à la gestion du cycle de vie. Cela signifie que toutes les nouvelles conceptions doivent déjà intégrer la cybersécurité.

Pour répondre à ces exigences, Arrow combine l’expertise de NXP en matière de semi-conducteurs et de sécurité avec les capacités d’ingénierie d’eInfochips, une société du groupe Arrow. En tirant parti des technologies « secure-by-design » de NXP et sur une documentation de sécurité complète, eInfochips peut contribuer à rationaliser le processus de développement conforme au CRA et à réduire les efforts nécessaires à cette mise en conformité.

Ce processus coordonné s’étend de l’évaluation des risques en phase initiale jusqu’à l’approvisionnement sécurisé, créant ainsi un parcours structuré et reproductible vers la conformité.

Le processus mis en œuvre par eInfochips commence par une analyse des risques menée conjointement avec le client final. Celle-ci comprend la modélisation des menaces et la définition des exigences en matière de cybersécurité conformément à la norme IEC 62443-4-1. Cela aboutit à un plan de cybersécurité documenté et un cadre d’exigences orientant les activités de développement tout au long du cycle de vie du produit.

eInfochips prend en charge la conception matérielle, le développement du firmware, ainsi que le développement d’applications cloud et mobiles, en intégrant la cybersécurité à chaque étape du cycle de conception du produit. Cela inclut notamment la modélisation des menaces, l’analyse des risques, le codage sécurisé, les tests SAST et DAST, les tests PAN, ainsi que la mise en œuvre dans le cadre de projets visant la conformité aux normes IEC 62443, RED3.3 ou CRA.

Les technologies de sécurité de NXP, notamment EdgeLock® Secure Enclave et EdgeLock Secure Elements and Authenticators, fournissent des racines de confiance, protègent les informations d’identification des dispositifs, sécurisent les données sensibles et prennent en charge les opérations sécurisées tout au long du cycle de vie. L’enclave sécurisée renforce en outre l’intégrité de la plateforme. Ces bases de sécurité permettent de répondre aux exigences essentielles du CRA notamment en matière d’intégrité des dispositifs, d’authentification, de contrôle d’accès, de certification, de protection des données et d’intégrité des mises à jour.

Après la phase de développement, Arrow assure l’approvisionnement sécurisé dans son centre de distribution principal à Venlo, aux Pays-Bas, établissant l’identité des dispositifs et leur configuration sécurisée, tout en permettant un cycle de vie conforme au CRA tout au long du déploiement.

En tirant parti du service cloud évolutif EdgeLock 2GO de NXP pour l’approvisionnement sécurisé et la gestion des identifiants, Arrow permet l’injection fiable à grande échelle de clés, certificats et identifiants tout au long du cycle de vie, répondant ainsi aux exigences du CRA relatives aux mises à jour sécurisées, à la supervision et à la gestion des vulnérabilités.

« Des cadres réglementaires, tels que le Cyber Resilience Act de l’Union européenne, transforment la façon dont les produits connectés sont développés et entretenus », déclare Philipp Mai, Vice-Président de l’ingénierie pour la zone EMEA chez Arrow. « Grâce à notre collaboration avec NXP et eInfochips, nous aidons nos clients à aligner analyse des risques, conception sécurisée et approvisionnement, en leur offrant une approche structurée de la cybersécurité sur l’ensemble du cycle de vie du produit tout en accélérant leur mise en conformité avec le CRA. »

« Chez NXP, nous disposons d’une longue tradition d’ingénierie secure by design qui s’inscrit naturellement dans les exigences désormais formalisées par le Cyber Resilience Act de l’UE », explique Alasdair Ross, Vice-Président de Secure Edge Identification chez NXP Semiconductors. « Grâce à cet engagement de longue date, nous étions prêts pour le CRA dès le premier jour. Nous sommes fiers d’accompagner nos clients avec les architectures sécurisées et les services de gestion du cycle de vie dont ils ont besoin pour mettre sur le marché des produits conformes, résilients et dignes de confiance. »

Arrow Electronics présentera cette approche lors du salon embedded world, qui se tiendra du 10 au 12 mars 2026 à Nuremberg, en Allemagne, au stand 4A-342. Les visiteurs pourront y discuter de leur stratégie de conformité au CRA et bénéficier d’une analyse de risques effectuée par eInfochips.