Comment établir une base matérielle sécurisée pour la conformité CRA à long terme

Le règlement sur la cyberrésilience (CRA) de l'Union européenne (UE) a fondamentalement transformé la cybersécurité, la faisant évoluer d'une simple considération secondaire à un enjeu architectural central pour les produits contenant des éléments numériques. Avec une entrée en vigueur complète à partir de 2027, les développeurs doivent être conscients de leurs obligations au titre de cette législation. Ils peuvent d'ores et déjà sélectionner le matériel de traitement approprié pour remplir ces responsabilités tout au long du cycle de vie d'un produit embarqué. Un matériel adéquat favorise une architecture sécurisée dès la conception, qui prend en charge la gestion continue des vulnérabilités, par exemple via des mises à jour à distance (OTA).

Cet article propose un bref aperçu des exigences CRA et explore la technologie d'enclave sécurisée comme base pour isoler les données sensibles et gérer une racine de confiance (RoT) matérielle afin de garantir l'intégrité du dispositif. Il présente ensuite des microcontrôleurs (MCU) et des processeurs d'application de NXP Semiconductors pouvant servir de base à une solution conforme au règlement CRA, et fournit une démonstration de mise en œuvre pratique.

Les obligations en matière de cybersécurité évoluent

En vertu du règlement CRA, le fabricant porte l'entière responsabilité légale de garantir la conformité. En bref, le CRA impose les exigences suivantes aux fabricants :

• Protéger les dispositifs contre toute violation et garantir l'intégrité logicielle dès la première mise en service
• Fournir une période de prise en charge d'au moins cinq ans, ou de la durée de vie prévue du produit si celle-ci est plus courte, avec une gestion continue des vulnérabilités et avec des mises à jour de sécurité régulières
• Maintenir la disponibilité de mises à jour et une documentation technique actualisée pendant 10 ans, ou pendant toute la durée d'une période de prise en charge plus longue
• Indiquer une date de fin de prise en charge précise pour les produits lors de leur mise sur le marché
• Signaler toute faille de sécurité activement exploitée au centre de réponse aux incidents de sécurité informatique (CSIRT) national et à l'Agence de l'Union européenne pour la cybersécurité (ENISA) dans les 24 heures, avec un rapport détaillé sous 72 heures et un rapport final sous 14 jours
• Fournir une certification par une tierce partie pour les produits spécialisés relevant des désignations « Produits importants » (classes I et II) et « Produits critiques » du CRA
• Signer une déclaration de conformité (DoC) formelle permettant aux fabricants d'utiliser le marquage Conformité Européenne (CE) pour accéder au marché de l'UE

L'engagement de garantir et de maintenir l'intégrité des dispositifs est au cœur des pratiques obligatoires du CRA, en commençant par la création d'une base matérielle sécurisée pour chaque produit. Bien que le CRA ne définisse pas de cadre spécifique, la technologie des enclaves sécurisées offre aux concepteurs un moyen fiable de se conformer à cet engagement obligatoire.

Comment la technologie d'enclave sécurisée prend en charge l'authentification des micrologiciels

Généralement contenue dans un système sur puce (SoC) plus grand, une enclave sécurisée (Figure 1) est un sous-système matériel sécurisé qui génère, stocke et gère les ressources de vérification logicielle (telles que les clés de chiffrement) et fournit une racine de confiance matérielle pour le système. En isolant ces ressources du reste du dispositif, les développeurs peuvent garantir une protection contre les accès non autorisés. L'ensemble du système peut alors être protégé contre les logiciels non autorisés via un processus de démarrage sécurisé.

Figure 1 : Une enclave sécurisée établit une racine de confiance (RoT) matérielle permettant de vérifier l'authenticité de chaque étape du processus de démarrage et de garantir ainsi l'intégrité du système. (Source de l'image : Brandon Lewis)

Le démarrage intervient au sein de l'enclave sécurisée, où la racine de confiance valide les signatures à chaque étape du démarrage du micrologiciel sécurisé, vérifiant ainsi que le sous-système sécurisé n'a pas été compromis. En cas d'incohérence, le processus de démarrage s'arrête, car la racine de confiance ne peut pas valider l'intégrité de la séquence de démarrage. Cela constitue la première étape pour protéger le système principal contre toute violation.

À chaque étape de démarrage suivante, l'enclave sécurisée vérifie alors les signatures à l'aide de clés publiques ancrées dans la racine de confiance matérielle. La vérification garantit que seul le code authentique, signé par le fabricant, est exécuté. Ainsi, si la vérification échoue à quelque étape que ce soit, le système principal interrompt son démarrage ou s'exécute avec des fonctionnalités limitées, isolant ainsi les menaces potentielles.

Étant donné que la conformité CRA à long terme implique également des mises à jour régulières tout au long du cycle de vie d'un produit, le démarrage sécurisé est essentiel pour vérifier l'authenticité de chaque correctif. Cela est particulièrement vrai pour les mises à jour OTA, dont l'installation est souvent automatique. Une enclave sécurisée constitue un élément fondamental de la chaîne de confiance de démarrage sécurisé. Les développeurs bénéficient ainsi de composants matériels sophistiqués intégrant ce sous-système.

Microcontrôleurs hautes performances prenant en charge la sécurité dès la conception

Pour les produits conformes au règlement CRA, les microcontrôleurs série MCX N (Figure 2) de NXP fournissent un sous-système sécurisé dédié ainsi qu'une double architecture Arm® Cortex®-M33 avec une unité de traitement neuronal (NPU) intégrée pour le traitement Edge AI. Le fonctionnement basse consommation de seulement 57 µA/MHz permet une longue durée de vie dans les conceptions alimentées par batterie, avec des modes hors tension supplémentaires qui réduisent la consommation de courant à seulement 2 µA.

Le sous-système sécurisé EdgeLock de NXP fonctionne comme une enclave sécurisée. Outre les modules de détection d'anomalies et de violations destinés à prévenir les vulnérabilités matérielles, le sous-système EdgeLock comprend plusieurs mesures pour maintenir l'intégrité des logiciels, notamment :

• Authentificateur de débogage pour empêcher tout accès non autorisé
• Cryptographie à clé publique (PKC), avec des modules AES-256 et ECC-256 pour le chiffrement et SHA-512 pour le hachage cryptographique, et un module PRINCE pour le chiffrement par bloc à faible latence
• Fonction physique inclonable (PUF) basée sur la mémoire SRAM pour générer un identifiant de dispositif unique et dériver des clés pour prendre en charge une racine de confiance matérielle immuable

Figure 2 : Outre le sous-système sécurisé EdgeLock conforme CRA, les microcontrôleurs MCX N94x de NXP offrent une large gamme d'interfaces pour s'adapter à de nombreuses applications. (Source de l'image : NXP)

Pour une protection accrue, les microcontrôleurs MCX N94x sont dotés d'Arm TrustZone pour des environnements d'exécution sécurisés et d'une horloge temps réel (RTC) avec des broches inviolables pour protéger les mécanismes de sécurité basés sur le temps. Des contrôleurs d'accès direct à la mémoire (DMA) sécurisés, une unité de protection de la mémoire (MPU) et une RAM à code de correction d'erreurs (ECC) sont également présents pour empêcher les vulnérabilités de la mémoire. Les microcontrôleurs MCX N94x offrent deux variantes qui permettent aux développeurs d'adapter les besoins en mémoire pour une application donnée : le MCXN946VDFT intègre 1 Mo de mémoire Flash et 352 Ko de SRAM dans un boîtier VFBGA à 184 broches, tandis que le MCXN947VDFT dispose de 2 Mo de mémoire Flash et de 512 Ko de SRAM dans un boîtier HDQFP à 172 broches.

En plus des fonctions de sécurité et de mémoire, les microcontrôleurs MCX N94x offrent des E/S numériques et analogiques, des interfaces homme-machine (IHM) et des sous-systèmes de commande moteur. Associées à une plage de températures de fonctionnement de -40°C à +125°C, ces fonctionnalités permettent une variété de conceptions de produits conformes au règlement CRA, y compris des équipements d'automatisation industrielle, des appareils électroménagers intelligents, des outils électriques et des dispositifs médicaux.

Lors du développement d'applications avec les microcontrôleurs MCX N94x, la carte d'évaluation FRDM-MCXN947 (Figure 3) constitue un point de départ efficace. Elle offre de nombreuses options de connectivité, notamment des ports Ethernet et USB Type-C ainsi que des embases d'extension, permettant le développement rapide d'applications avec des outils familiers. NXP fournit également des ressources telles que les outils Expansion Board Hub et Application Code Hub pour aider les équipes à sélectionner le matériel compatible et à programmer avec MCUXpresso.

Figure 3 : La carte d'évaluation FRDM-MCXN947 permet le prototypage rapide de systèmes conformes CRA. (Source de l'image : NXP)

EdgeLock de NXP pour applications Linux embarquées

NXP inclut également une enclave sécurisée EdgeLock sur ses processeurs d'application écoénergétiques série i.MX 93 (Figure 4). Ces processeurs offrent une gamme de périphériques hautes performances similaire à celle des microcontrôleurs MCX N94x, tout en combinant un seul cœur Cortex-M33 avec deux cœurs d'application Arm Cortex-A55 compatibles Linux.

Figure 4 : Les processeurs d'application i.MX 93 combinent EdgeLock avec un cœur Cortex-M33 et deux cœurs Cortex-A55 afin de fournir une base sécurisée pour les systèmes Linux embarqués. (Source de l'image : NXP Semiconductors)

À l'instar des microcontrôleurs MCX N94x, l'enclave sécurisée EdgeLock des processeurs d'application i.MX 93 inclut des modules cryptographiques et de détection des violations. Cependant, une horloge sécurisée dédiée (incluse pour empêcher les vulnérabilités basées sur le temps) et un stockage de clés eFuse servent également à la racine de confiance matérielle. Là encore, la mémoire système étendue est protégée par une RAM avec ECC et un microprocesseur au sein du sous-système en temps réel. Les cœurs Cortex-A et Cortex-M intègrent tous les deux Arm TrustZone pour un partitionnement logiciel sécurisé, renforcé par un contrôleur de domaine de ressources de confiance (Trusted Resource Domain Controller, TRDC).

Outre la production de dispositifs i.MX 93 pour les plages de températures commerciales, automobiles et industrielles, NXP propose également des options de calcul évolutives pour une large gamme d'applications. Par exemple, le MIMX9351DVVXMAB est doté d'un seul cœur Cortex-A55 fonctionnant jusqu'à 1,7 GHz et d'une unité de traitement neuronal pour prendre en charge les applications Edge AI telles que les concentrateurs de maison intelligente. Le MIMX9302DVVXDAB, quant à lui, est doté de deux cœurs Cortex-A55 fonctionnant jusqu'à 900 MHz sans unité de traitement neuronal optionnelle, ce qui en fait une solution de calcul à usage général adaptée aux bornes d'informations numériques et aux systèmes de sécurité multi-caméras. D'autres combinaisons de ces ressources sont disponibles.

Pour accélérer le développement avec les processeurs d'application i.MX 93, la carte d'évaluation MCIMX93-QSB (Figure 5) comporte plusieurs connecteurs physiques pour la programmation, la connectivité réseau et l'extension système, notamment des ports Ethernet et USB Type-C, des embases d'extension et un connecteur M.2 Key-E. La carte est prise en charge par les outils de développement et le logiciel i.MX.

Figure 5 : La carte d'évaluation MCIMX93-QSB et le logiciel associé accélèrent le développement d'applications i.MX 93. (Source de l'image : NXP Semiconductors)

Pour renforcer davantage la sécurité des dispositifs conformément aux engagements de période de prise en charge du CRA, le service cloud EdgeLock 2GO de NXP offre aux développeurs des mises à jour OTA sécurisées, la signature de code et la gestion des certificats et des clés tout au long du cycle de vie des dispositifs. En s'intégrant nativement aux dispositifs sécurisés EdgeLock, ce service complète les bases d'une stratégie de sécurité globale qui prend en charge la conformité CRA à long terme.

Conclusion

Le règlement CRA de l'UE va avoir un impact sur le développement des produits numériques pendant de nombreuses années, mais les développeurs doivent comprendre ses implications dès maintenant pour respecter les échéances. Pour la conception de produits conformes CRA, des dispositifs tels que les microcontrôleurs MCX N94x et les processeurs d'application i.MX 93 de NXP fournissent une base de sécurité matérielle robuste via l'enclave sécurisée EdgeLock et des mesures de sécurité matérielle supplémentaires. Avec EdgeLock 2GO, les équipes de développement peuvent renforcer leur engagement en faveur de la conformité CRA à long terme et sécuriser les produits dès la conception dans ce paysage réglementaire en constante évolution.