La cybersécurité est désormais considérée comme un enjeu majeur dans la plupart des pays, en particulier en Europe et aux États-Unis, avec la loi sur la cyberrésilience de l’UE et la loi sur l’amélioration de la cybersécurité de l’Internet des objets aux États-Unis. Alors que ce sujet est si important, il existe en fait peu de moyens de démontrer la robustesse effective d’un nouveau produit. En effet, démontrer qu’un produit offre le bon niveau de sécurité nécessite l’intervention d’un tiers de confiance, capable d’évaluer les preuves fournies par le vendeur.

Si les Critères communs (CC) soutenus par les gouvernements, peuvent être utilisés pour démontrer la sécurité effective d’un produit intégré, le processus d’évaluation n’est pas adapté au marché IoT en raison de l’absence d’accords mutuels entre les pays et de la lourdeur du processus d’évaluation.

Pour résoudre ce problème, la plate-forme mondiale a conçu, à partir des critères communs, la méthode d’évaluation SESIP, une méthode d’évaluation légère mais très puissante. La méthodologie fournit un cadre qui peut être utilisé pour évaluer le niveau réel de sécurité de tout type de produit connecté ou IoT.

Cependant, la méthodologie SESIP est en quelque sorte un cadre brut qui doit être instancié pour chaque nouveau produit. C’est là que le cadre certifié PSA vient à la rescousse. PSA Certified fournit à la fois un modèle de sécurité de plate-forme pour les produits IoT et la méthodologie d’évaluation correspondante basée sur le schéma SESIP de la plate-forme mondiale. En bref, PSA Certified vous aide à définir votre problème de sécurité en fonction de la nature de votre produit à l’aide de profils de protection complets et de trois niveaux de résistance prédéfinis.

Au premier niveau, vous pouvez prouver à votre client que votre produit est bien conçu en remplissant un questionnaire qui sera examiné et contesté par un laboratoire de sécurité indépendant comme le laboratoire de sécurité de Serma.

Au niveau deux, vous pouvez démontrer la résistance de votre produit à un attaquant distant dans un contexte de boîte blanche. Les tests de pénétration seront effectués par un laboratoire indépendant tel que le laboratoire de sécurité de Serma.

Au niveau trois, le plus haut niveau d’assurance offert par le cadre de certification PSA, la résistance de votre produit contre les attaquants à distance et physiques sera démontrée par un laboratoire indépendant comme le laboratoire de sécurité de Serma.

Le laboratoire de sécurité de Serma effectue des évaluations certifiées SESIP et PSA jusqu’au niveau trois. Il évalue chaque année plus de 200 produits de sécurité complexes, allant de la puce électronique au système matériel/logiciel complet. Le laboratoire est accrédité par de nombreux organismes pour réaliser ces évaluations par rapport à de nombreuses normes internationales, publiques ou privées (Critères Communs, EMVCO, GlobalPlatform, PCI PTS, FIPS140-2, SESIP, PSA Certified…).