Avis ENISA sur les mécanismes de mise à jour sécurisés : guide CRA

Avis ENISA sur les mécanismes de mise à jour sécurisés : obligations CRA, 7 menaces et contrôles. Ce que l'ANSSI peut vérifier chez vous.

CRA Evidence Team Publié 2 juin 2026 Mis à jour 3 juin 2026
Avis technique ENISA sur les mécanismes de mise à jour sécurisés, un guide en projet reliant les menaces du cycle de vie des mises à jour aux contrôles pour les fabricants CRA
Dans cet article

L'ENISA attend vos retours avant le 10 juillet 2026. Son deuxième avis technique sur la sécurité des produits, Secure Update Mechanisms, est publié en projet et la consultation est ouverte dès maintenant.

Voici pourquoi cela compte. L'avis prend l'exigence du Règlement sur la cyberrésilience de livrer des mises à jour sécurisées et la décompose en sept étapes, chacune reliée à un échec réel. Quatre étaient des attaques : SolarWinds, ASUS, Notepad++ et Trivy. Une, la panne CrowdStrike de 2024, était une version défectueuse plutôt qu'une attaque. L'ENISA associe ensuite chaque étape à des contrôles qui réduisent la probabilité ou l'impact de cette menace ou de cet échec. Ce guide extrait les éléments dont une microentreprise, une petite ou une moyenne entreprise a besoin, les relie à vos obligations CRA, ajoute notre propre vue sur l'outillage et sur ce qu'il faut prioriser, et déroule l'exemple du thermostat que l'ENISA utilise pour tout relier.

Synthèse

  • L'ENISA a publié l'avis Secure Update Mechanisms sous forme de projet (Version 0.1) en mai 2026. C'est le deuxième de sa série sur la sécurité des produits, après l'avis Secure Use of Package Managers finalisé en mars 2026.
  • L'avis est agnostique sur le plan technologique. Il est cohérent avec The Update Framework (TUF), Uptane et NIST SP 800-40, mais il n'en impose aucun.
  • Il modélise le cycle de vie des mises à jour en 7 étapes réparties sur 3 domaines de confiance, liste la menace à chaque étape avec un incident réel, et relie l'ensemble à 36 recommandations réparties en 4 groupes.
  • Il se rattache directement aux obligations de mise à jour de l'annexe I du CRA : mises à jour de sécurité en temps utile, distribution sécurisée, diffusion sans retard, protection de l'intégrité et mises à jour automatiques assorties de contrôles pour l'utilisateur.
  • Il ne constitue ni un avis juridique ni une présomption de conformité. Il ne vous dit pas non plus comment corriger le défaut sous-jacent.
  • Un exemple concret de firmware de thermostat montre une signature à deux niveaux, un manifeste signé, une découverte par TLS, cinq vérifications côté appareil et une installation atomique A/B avec retour arrière.
  • Les retours sont collectés par enquête, avec une échéance au 10 juillet 2026.
7
Étapes du cycle de vie
De la fabrication à l'enregistrement du statut
4
Modèles de livraison
Intégré, plateforme, manuel, étagé
36
Recommandations
réparties en 4 groupes de contrôles
10 juil.
Échéance des retours
consultation publique 2026

Source : avis technique ENISA sur les mécanismes de mise à jour sécurisés, projet Version 0.1, mai 2026.

Ce qu'est l'avis, et ce qu'il n'est pas

L'avis technique ENISA sur les mécanismes de mise à jour sécurisés est un projet daté de mai 2026, étiqueté Version 0.1 dans les en-têtes de ses pages. Le fichier publié porte le nom v0.6, ce qui semble être une coquille. L'ENISA l'a ouvert à consultation publique avec une enquête de retour qui se clôt le 10 juillet 2026.

Il vise les fabricants de produits comportant des éléments numériques, et en particulier les équipes qui conçoivent, construisent ou exploitent les mécanismes de mise à jour. L'ENISA l'a écrit pour les micro, petits et moyens fabricants qui doivent comprendre les menaces courantes sur les mises à jour et appliquer un ensemble de contrôles sans monter une grande équipe de sécurité.

Soyez clair sur ses limites. L'ENISA en énonce trois directement.

Lisez l'avertissement

L'avis n'est pas un avis juridique, ni une interprétation formelle du CRA, ni une présomption de conformité. Il ne couvre pas non plus la manière de développer ou de valider le correctif lui-même, y compris l'analyse des causes profondes. La conformité au Règlement (UE) 2024/2847 reste la responsabilité du fabricant.

Ce qu'il vous donne, en revanche, c'est une carte partagée. Le même cycle de vie en sept étapes traverse la section sur les menaces et la section sur les contrôles, de sorte qu'un contrôle renvoie toujours à la menace à laquelle il répond.

Le cycle de vie des mises à jour, en sept étapes

L'ENISA décrit toute mise à jour, qu'il s'agisse d'un firmware, d'un binaire, d'un correctif différentiel, d'un fichier de signature ou d'un changement de configuration, comme passant par les mêmes sept étapes. Cinq acteurs les portent : le producteur (fabricant), le service de publication, le dépôt de mises à jour, le client de mise à jour et le terminal.

Les sept étapes se répartissent sur trois zones de confiance. Le domaine de confiance du producteur est l'endroit où la mise à jour est construite et signée. Le domaine de distribution, qui inclut les dépôts et les CDN, est traité comme moins fiable. Le domaine de confiance de l'appareil est l'endroit où la mise à jour est vérifiée et installée.

Le cycle de vie des mises à jour logicielles sur trois domaines de confiance. Domaine du producteur : étape 1 construire et signer, menacée par la compromission de la chaîne de build ou des clés de signature (SolarWinds), étape 2 publier, menacée par l'altération des métadonnées ou de la charge utile (Trivy). Domaine de distribution, moins fiable : étape 3 rechercher des mises à jour, menacée par la redirection, le rejeu ou le gel (Notepad++), étape 4 récupérer, menacée par la substitution de la charge utile (ASUS ShadowHammer). Domaine de l'appareil : étape 5 vérifier, menacée par une vérification faible ou absente, étape 6 installer, menacée par une installation défectueuse ou malveillante (CrowdStrike), étape 7 enregistrer le statut, menacée par un échec qui passe inaperçu.
Les sept étapes de mise à jour, le domaine de confiance dans lequel chacune se situe, et l'incident réel qui montre ce qui tourne mal à cette étape.

L'idée la plus utile du document tient derrière ce schéma.

Faites confiance à la signature, pas à la source

L'appareil est provisionné avec une clé publique racine comme ancre de confiance. Une mise à jour est acceptée parce que la vérification cryptographique réussit, pas à cause de l'endroit d'où elle a été téléchargée. Même si un CDN ou un miroir est compromis, une mise à jour non autorisée ou modifiée doit être rejetée par l'appareil.

Comment les mises à jour atteignent réellement l'appareil

Le cycle de vie est le même partout. Qui exécute chaque étape, non. L'ENISA nomme quatre modèles de livraison, et le modèle décide de l'endroit où vos contrôles doivent vivre. La matrice ci-dessous montre qui exécute chaque étape, pour que vous voyiez quelles cases vous reviennent.

Une matrice de quatre modèles de livraison face à quatre étapes de mise à jour : découverte, récupération, vérification et installation. Pour un updater intégré au produit, le produit exécute les quatre étapes, donc toutes relèvent de votre responsabilité. Pour les mises à jour gérées par plateforme, une plateforme externe exécute les quatre étapes. Pour les mises à jour manuelles hors bande, l'utilisateur exécute la découverte, la récupération et l'installation, tandis que la vérification est le contrôle que vous construisez. Pour les mises à jour en entreprise ou étagées, l'organisation cliente exécute la découverte, la récupération et l'installation, et la vérification est partagée entre vous et le client. Dans tous les modèles, vous restez toujours responsable de la construction et de la signature.
Qui exécute chaque étape de mise à jour, selon notre lecture des quatre modèles de livraison de l'ENISA. L'ENISA décrit les modèles mais n'en tabule pas la répartition. Les cases indigo sont celles que vous construisez et dont vous êtes responsable.

Les exemples donnés par l'ENISA : le modèle intégré couvre les updaters d'applications de bureau, les updaters de greffons intégrés au produit et la mise à jour automatique du navigateur. Le modèle géré par plateforme couvre les magasins d'applications mobiles, les dépôts de paquets Linux, les plateformes MDM et les magasins d'extensions de navigateur. Le modèle manuel hors bande couvre un installeur depuis le site d'un éditeur, un correctif via un portail sécurisé ou un paquet envoyé par e-mail. Le modèle entreprise ou étagé couvre la mise en attente de type WSUS, les miroirs d'entreprise, les serveurs de gestion des correctifs et le transfert en réseau isolé.

Pour les conceptions simples, l'ENISA décrit un appareil qui fait confiance à une clé publique racine plus une clé de signature opérationnelle. Les conceptions plus avancées utilisent des rôles de signature distincts, et les déploiements à plus forte assurance ajoutent des signatures à seuil, où plus d'un détenteur de clé doit approuver un changement sensible. TUF et Uptane formalisent cette séparation des rôles. Vous n'avez à adopter ni l'un ni l'autre pour atteindre le socle de base.

Sept façons d'attaquer le canal de mise à jour

C'est la partie à lire deux fois. L'ENISA parcourt chaque étape du cycle de vie, énonce la menace, l'impact et un incident réel. Le schéma est constant : une compromission précoce dans la chaîne reste invisible si les étapes ultérieures traitent tout comme normal. Le tableau ci-dessous reprend la section 3 de l'avis, condensée, avec le contrôle principal ajouté depuis sa section 4.

ÉtapeCe qui tourne malIncident réelContrôle principal
1. Construire et signerChaîne de build ou clés de signature compromises, code malveillant intégré dans des artefacts signésSolarWinds : code malveillant inséré dans l'environnement de build et livré dans des mises à jour signéesEnvironnement de build de confiance, protection des clés dans un HSM, provenance
2. PublierMétadonnées ou charges utiles de la mise à jour manipulées lors de la publication, fichiers légitimes remplacés ou retenusTrivy : processus de publication et de distribution ciblés pour pousser des artefacts compromis par des canaux de confianceValidation avant publication, flux de publication contrôlé, intégrité des métadonnées
3. Rechercher des mises à jourRedirection, détournement DNS, faux services de mise à jour, rejeu d'anciennes métadonnées ou attaques par gel qui masquent des correctifs plus récentsNotepad++ : découverte des mises à jour détournée pour que certains utilisateurs contactent une source contrôlée par l'attaquantSource de mise à jour de confiance, validation de la fraîcheur des métadonnées
4. RécupérerTéléchargement perturbé, artefacts malveillants ou corrompus livrés depuis des dépôts, des miroirs ou des CDNASUS Live Update (ShadowHammer, 2019) : artefacts malveillants poussés par le canal de téléchargement normal vers des utilisateurs ciblésSécurité de transport forte (TLS), traiter les CDN comme non fiables, vérification d'intégrité
5. VérifierSignature, chaîne de confiance, hachage, version ou contrôle d'applicabilité faibles ou absents qui laissent passer de mauvaises mises à jour comme validesNotepad++ a renforcé plus tard la vérification de l'installeur après le détournementVérification de signature, contrôle d'intégrité, anti-retour arrière
6. InstallerDu code malveillant s'exécute avec des privilèges élevés, ou une mise à jour défectueuse casse l'appareilPanne CrowdStrike Falcon (2024) : une mise à jour défectueuse, non malveillante, a provoqué des plantages massifsInstallation atomique, test des mises à jour sûres, récupération et retour arrière
7. Enregistrer le statutJournalisation, surveillance ou alerte absentes, désactivées ou supprimées, de sorte que les problèmes passent inaperçusLa panne CrowdStrike a montré pourquoi une visibilité rapide sur les échecs et les terminaux affectés compte à grande échelleEnregistrement du statut des mises à jour, journalisation sécurisée, signalement des échecs

Le modèle de menace que retient l'ENISA est large. Les attaquants peuvent viser les chaînes de build, les clés de signature, les services de publication, les dépôts, les CDN, le DNS, le rejeu de métadonnées, l'état de mise à jour côté client ou le flux d'installation. Le mélange de cas malveillants (SolarWinds, ASUS) et d'un cas non malveillant (CrowdStrike) est délibéré. Un mécanisme de mise à jour sécurisé doit survivre à la fois à un attaquant et à une version défectueuse.

STRIDE en un coup d'œil

L'annexe 1 de l'avis relie les menaces aux catégories STRIDE de Microsoft. C'est une correspondance indicative, non exhaustive, et plusieurs menaces couvrent plus d'une catégorie. Si vous menez une seule session de modélisation des menaces cette année, utilisez ce tableau comme ordre du jour : parcourez votre canal de mise à jour étape par étape et demandez quelle catégorie STRIDE mord le plus fort à chacune. Pour une équipe réduite, les lignes Altération et Usurpation d'identité aux étapes Récupérer et Rechercher méritent le plus de temps, car c'est là que les attaques ASUS et Notepad++ ont frappé.

Étape du cycle de vie Catégories STRIDE
Construire / empaqueter / établir la confiance Altération, Usurpation d'identité, Élévation de privilèges
Publier Altération, Usurpation d'identité, Déni de service
Rechercher des mises à jour Usurpation d'identité, Altération, Déni de service
Récupérer Altération, Usurpation d'identité, Déni de service
Vérifier Usurpation d'identité, Altération
Installer Élévation de privilèges, Altération, Déni de service
Enregistrer le statut Répudiation, Altération, Déni de service

Les contrôles, regroupés comme l'ENISA les regroupe

La section 4 rassemble les contrôles en quatre étapes et les aligne sur le playbook ENISA Secure by Design and Default. L'avis complet liste 36 recommandations nommées. Les tableaux ci-dessous gardent les plus utiles par étape. Lisez la source pour l'ensemble complet.

Préparation et publication

Cette étape couvre la construction, l'autorisation et la publication de la mise à jour et de ses métadonnées.

Recommandation Ce qu'elle signifie
Pratiques de signature sécurisées Signez les métadonnées de mise à jour avec une cryptographie forte, et liez l'artefact à ces métadonnées.
Protection et gestion des clés Stockez les clés de signature dans un HSM, restreignez l'accès, séparez les rôles de clé, et faites une rotation ou une révocation en cas de compromission soupçonnée.
Provenance et traçabilité Maintenez la traçabilité de la source à la version. Les équipes à plus forte assurance utilisent la provenance SLSA ou les attestations in-toto.
Vérification des dépendances Vérifiez l'absence de vulnérabilités connues dans les composants tiers et externes avant publication. Votre SBOM alimente ce contrôle.
Structuration des mises à jour Concevez les versions pour que les mises à jour de sécurité soient livrées indépendamment des changements fonctionnels, et puissent s'installer automatiquement par défaut lorsque c'est possible.
Lien avec l'avis de sécurité Publiez la mise à jour avec une information claire sur la vulnérabilité, sa gravité et la remédiation, pour que les utilisateurs comprennent l'urgence.
Test du comportement sûr de la mise à jour Testez que les mises à jour s'installent sans casser l'appareil, et que le retour arrière ou la récupération fonctionne en cas d'échec.

Découverte et récupération

Cette étape décide comment les clients trouvent et téléchargent les mises à jour sans être redirigés ni recevoir des données périmées.

Recommandation Ce qu'elle signifie
Source de mise à jour de confiance N'obtenez les informations de mise à jour que depuis des points d'accès autorisés et authentifiés.
Sécurité de transport forte Utilisez TLS pour la découverte et la récupération, sans repli vers des protocoles non sécurisés.
Séparation des domaines de confiance Traitez les CDN, miroirs et intermédiaires comme non fiables. Leur compromission ne doit pas suffire à pousser une mise à jour modifiée.
Validation de la fraîcheur des métadonnées Utilisez l'expiration, l'horodatage, la version ou des numéros de séquence monotones pour rejeter des métadonnées périmées, rejouées ou gelées.
Prise en charge de la récupération automatisée Activez la découverte et la récupération automatiques par défaut, avec des contrôles pour reporter mais non pour bloquer les mises à jour de sécurité critiques.

Vérification et installation

C'est le point de décision de confiance principal. S'il échoue, les compromissions antérieures deviennent des mises à jour valides.

  1. Vérification de signature. Vérifiez l'authenticité des métadonnées, et confirmez que l'artefact y est lié cryptographiquement.
  2. Validation d'applicabilité. Confirmez que la mise à jour correspond à ce produit, cette version et cette configuration avant l'installation.
  3. Contrôle d'intégrité. Validez le hachage de l'artefact et rejetez tout contenu corrompu ou modifié avant l'installation.
  4. Contrôle de version et anti-retour arrière. Bloquez l'installation de versions plus anciennes ou non autorisées à l'aide de compteurs de retour arrière ou de numéros de séquence monotones.
  5. Contexte d'installation autorisé. Seuls des composants de confiance et autorisés peuvent démarrer et exécuter l'installation, avec des restrictions de moindre privilège. C'est le contrôle pour la menace de privilèges élevés à l'étape d'installation.
  6. Comportement de mise à jour atomique. Le système bascule entièrement vers la nouvelle version ou reste en sécurité sur la précédente, avec récupération en cas d'échec.

Observabilité et récupération

Cette étape enregistre les résultats, fait remonter les échecs et permet à l'appareil de récupérer.

Recommandation Ce qu'elle signifie
Enregistrement du statut de mise à jour Enregistrez le résultat de chaque opération : succès, échec, retour arrière ou installation partielle.
Journalisation sécurisée Protégez les journaux de mise à jour contre l'altération et l'accès non autorisé.
Signalement des échecs d'intégrité Détectez et signalez les échecs de validation de signature, d'intégrité ou de métadonnées.
Récupération et retour arrière Récupérez après des mises à jour échouées, y compris en revenant à une version connue comme saine.
Récupération de l'ancre de confiance et des clés Prenez en charge la rotation ou le remplacement sécurisé des clés de signature en cas de compromission.

Comment les équipes construisent cela avec des outils open source

L'ENISA garde l'avis agnostique sur le plan technologique et nomme des cadres et des guides comme TUF, Uptane, SLSA, in-toto et NIST SP 800-40, sans recommander d'outils précis. C'est le bon choix pour un régulateur, mais il laisse la question pratique ouverte. La correspondance ci-dessous est la nôtre, pas celle de l'ENISA. Aucun de ces outils n'est un certificat de conformité. Ils implémentent l'ingénierie. La preuve reste votre responsabilité.

Groupe de contrôles Outils et cadres open source Ce qu'ils vous apportent
Build, provenance, vérification des dépendances Syft, Grype, Trivy et OSV-Scanner, plus le cadre SLSA avec attestations in-toto (produites par des outils comme Tekton Chains ou les générateurs SLSA) Générer un SBOM, scanner les dépendances pour les vulnérabilités connues, et produire une provenance de build signée de la source à l'artefact.
Signer métadonnées et artefacts Sigstore (cosign), The Update Framework (python-tuf, go-tuf), Notary / Notation Signer les métadonnées de mise à jour et y lier l'artefact. Sigstore ajoute un journal de transparence public. TUF ajoute des rôles de signature et des métadonnées de fraîcheur.
Protéger les clés de signature SoftHSM pour les tests, et Sigstore Fulcio et Rekor pour la signature sans clé, adossés à un HSM PKCS#11 ou un KMS cloud pour les clés de production Garder les clés de signature hors des machines de build et conserver une trace de ce qui a été signé et quand.
Clients de mise à jour sur l'appareil Mender, RAUC, SWUpdate, OSTree Vérifier une mise à jour signée sur l'appareil, l'installer sur un slot ou un déploiement redondant, et revenir en arrière en cas d'échec. La façon dont la mise à jour atteint l'appareil dépend de votre intégration.
Orchestration de déploiement et cadres Eclipse hawkBit (déploiement côté serveur vers un parc), Uptane (cadre de mise à jour sécurisée pour l'automobile) Gérer et étager la livraison vers de nombreux appareils. Ce ne sont pas des installeurs sur l'appareil.
Lien avec les avis de sécurité et la remédiation OpenVEX, CSAF, CycloneDX VEX Publier des déclarations de vulnérabilité et d'exploitabilité lisibles par machine à côté de la mise à jour.
Notre avis : ne construisez pas l'updater de zéro

Pour un produit embarqué, un cadre A/B maintenu comme Mender, RAUC, SWUpdate ou OSTree peut vous donner des images signées, une vérification sur l'appareil, une installation atomique et un retour arrière, une fois configuré pour votre modèle de mise à jour. Cela couvre l'essentiel des étapes 4 à 7 dans une dépendance que vous n'avez pas à maintenir vous-même. L'exemple du thermostat ci-dessous se lit comme une version artisanale de ce que ces outils fournissent une fois en place. Consacrez vos propres efforts à la protection des clés et à la provenance de build, les parties qu'aucun updater ne vous offre gratuitement.

Construisez l'updater dans l'ordre des dépendances

Cette partie est notre recommandation, pas celle de l'ENISA. Une réserve d'abord : ce n'est pas une liste restreinte à laquelle s'arrêter. Le CRA exige chaque exigence essentielle de cybersécurité qui s'applique à votre produit, sur la base de votre analyse des risques au titre de l'annexe I, donc l'objectif est l'ensemble complet des contrôles. Ce qui suit est l'ordre dans lequel nous les construirions, pour qu'une petite équipe ne soit pas paralysée par 36 recommandations. Le socle rend les contrôles ultérieurs utiles, donc la séquence compte.

  1. Signez les métadonnées et vérifiez sur l'appareil. Provisionnez une ancre de confiance racine et vérifiez la signature avant toute installation. Faites-le en premier, car tout autre contrôle suppose que l'appareil n'accepte que des mises à jour authentiques. Sans cela, le reste n'est que décoration.
  2. Verrouillez le transport. TLS pour la découverte et la récupération, et traitez tout CDN ou miroir comme non fiable. C'est surtout de la configuration, donc peu coûteux, et cela ferme l'attaque de récupération de type ASUS.
  3. Ajoutez les contrôles de hachage et d'applicabilité. De petits ajouts à l'étape de vérification : confirmez que le hachage de l'artefact correspond au manifeste signé, et que la mise à jour correspond à ce modèle et cette version. Peu d'effort une fois la signature en place.
  4. Cadrez l'anti-retour arrière tôt. C'est le contrôle le plus difficile à ajouter après coup, car il a besoin d'un état de compteur protégé et de la coopération du chargeur d'amorçage, donc planifiez-le maintenant même s'il arrive plus tard. C'est la défense contre le gel et la rétrogradation que l'ENISA souligne le plus.
  5. Rendez les installations atomiques, avec retour arrière. Slots A/B ou redondants, pour qu'une version défectueuse (le mode de défaillance CrowdStrike) ne rende pas l'appareil inutilisable. C'est un gros chantier en artisanal, ce qui explique qu'un cadre maintenu l'emporte généralement ici.
  6. Enregistrez et signalez les résultats. Un journal de mise à jour infalsifiable et un signalement des échecs, pour détecter un problème et prouver ce qui s'est passé. C'est aussi ce sur quoi s'appuie votre preuve CRA.

Un exemple concret : livrer un correctif de thermostat

L'ENISA conclut par un exemple concret, et c'est la partie la plus claire du document. Un thermostat IoT embarqué en version 1.0.0 a besoin d'une mise à jour de sécurité qui corrige EUVDB-202X-Y, une faille de validation d'entrée. L'appareil utilise un updater intégré. L'exemple est illustratif, pas un modèle universel.

Le fabricant exploite deux niveaux de signature. Une autorité de signature racine reste hors ligne et autorise une clé de signature opérationnelle du fournisseur utilisée pour les versions courantes. Cette séparation permet à la clé du fournisseur de tourner sans changer l'ancre de confiance racine de l'appareil.

L'appareil est livré avec les parties montrées ci-dessous.

Croquis du thermostat à gauche, montrant le cadran au firmware actuel v1.0.0, deux slots de firmware slot_a et slot_b, une zone de staging pour les téléchargements non vérifiés, et une mise à jour arrivant via TLS. À droite, six composants. root_public.pem est l'ancre de confiance fixée à la fabrication qui vérifie les clés de signature. vendor_public.pem vérifie les métadonnées de mise à jour signées et est renouvelable par une mise à jour. slot_a et slot_b sont deux slots de firmware pour les mises à jour A/B. staging est la zone d'attente des téléchargements non vérifiés. rollback_counter est l'état anti-retour arrière protégé en stockage non volatile. ca.pem est le magasin de confiance TLS qui valide le certificat du serveur de mise à jour.
Ce qui est livré à l'intérieur de l'appareil, et comment une mise à jour arrive avant d'être vérifiée.

Préparation. Le build s'exécute dans un environnement contrôlé avec uniquement du code et des dépendances autorisés. Un SBOM est généré et contrôlé pour les vulnérabilités. Le fabricant produit un manifest.json signé portant le hachage SHA-256 et la taille du fichier, le produit et la version applicables, les champs de fraîcheur et d'anti-retour arrière (horodatage, expiration, compteur de retour arrière), et l'information sur l'avis (gravité, URL de l'avis). Un changement d'un seul octet dans le paquet produit un hachage différent, détecté sur l'appareil.

openssl dgst -sha256 -sign keys/vendor_private.pem \
  -out repo/manifest.json.sig repo/manifest.json

Découverte. Le thermostat recherche les mises à jour via TLS, en validant le certificat du serveur contre ca.pem. Les champs update_type et severity lui permettent de distinguer une mise à jour de sécurité d'une version courante et de prévenir l'utilisateur en conséquence. Les téléchargements atterrissent dans staging, de sorte qu'une coupure de courant en plein téléchargement ne touche jamais le firmware en cours d'exécution.

curl --tlsv1.2 --cacert /etc/ssl/certs/ca.pem \
  https://updates.acme.com/device/manifest.json -o manifest.json

Vérification et installation. Avant d'installer, l'appareil exécute cinq vérifications dans l'ordre. Si l'une échoue, il abandonne.

Cinq vérifications s'exécutent dans l'ordre avant qu'une mise à jour ne s'installe, et tout échec abandonne et conserve le firmware actuel. Vérification 1 confiance de la clé de signature : la clé racine confirme que la clé du fournisseur est autorisée. Vérification 2 signature : la clé du fournisseur vérifie la signature du manifeste. Vérification 3 hachage : le SHA-256 de l'artefact correspond au manifeste. Vérification 4 anti-retour arrière : le compteur de retour arrière du manifeste est au moins égal à celui de l'appareil. Vérification 5 applicabilité : modèle, version, horodatage et configuration correspondent. Si les cinq passent, le firmware est écrit dans le slot inactif et activé par un basculement A/B atomique. Si une vérification échoue, la mise à jour est abandonnée et le firmware en cours n'est pas touché.
Une mise à jour doit franchir les cinq vérifications avant de toucher au firmware actif.

La vérification anti-retour arrière pèse le plus lourd. Le compteur de retour arrière de l'appareil ne monte qu'après que le nouveau firmware démarre et passe ses contrôles de santé, de sorte qu'une mise à jour échouée ou malveillante ne peut pas relever discrètement le plancher et bloquer un correctif ultérieur. En cas de succès, le firmware est écrit dans le slot inactif et activé par un basculement de slot atomique, de sorte qu'une version connue comme saine reste toujours disponible. L'observabilité enregistre chaque tentative dans un update.log à accès restreint avec horodatage et statut. Si la clé du fournisseur est un jour compromise, le fabricant signe et livre une nouvelle clé de fournisseur que la clé racine autorise. La clé racine n'est jamais mise à jour par ce canal. Une compromission de la racine nécessite un processus sécurisé distinct comme une réinitialisation d'usine.

Ce que cela signifie pour votre dossier CRA

Le tableau final de l'avis associe chaque revendication de sécurité à des exemples de preuves et d'artefacts. Cette correspondance est le pont vers votre documentation technique. La documentation technique du CRA demande les deux : une description de votre solution de mise à jour sécurisée (annexe VII) et la preuve qui l'étaye, dont une nomenclature des logiciels (SBOM) et des rapports de test. Une description sans rien derrière, c'est le point faible.

Notre vue : commencez par la preuve, pas par les contrôles

C'est notre avis, pas celui de l'ENISA. Pour une PME au temps limité, ce tableau est la partie de l'avis sur laquelle agir en premier. La documentation technique du CRA (article 31 et annexe VII) veut une description de votre solution de mise à jour plus la preuve qui l'étaye : rapports de test, un SBOM et des artefacts. La plupart des équipes savent écrire la description. La question plus difficile est de savoir si vous pouvez produire la preuve de chaque revendication aujourd'hui. C'est là que nous mettrions la première heure.

Les revendications de sécurité de l'exemple, et la preuve qui étaye chacune, ressemblent à ceci.

Ce que vous pouvez revendiquer Preuve à conserver
La mise à jour est digne de confiance (origine et composition) Journaux de build, SBOM, résultats SCA, traces CI/CD
Protégée contre une publication non autorisée ou une usurpation Manifeste signé, clés publiques racine et fournisseur, journaux de signature
Les correctifs de sécurité sont déployés sans délai opérationnel Notes de version sécurité uniquement, champs du manifeste
Le canal de mise à jour est authentifié et privé ca.pem, paramètres TLS
Protégée contre le gel sur une version vulnérable Contrôles de fraîcheur, expiration, journaux de validation de version
Vérifiée avant activation, protégée contre la rétrogradation Clés publiques, fichiers de signature, état anti-retour arrière
Les échecs sont détectés et récupérables update.log, journaux de contrôle de santé, traces de retour arrière

Chaque ligne soutient une ou plusieurs exigences de l'annexe I du CRA, de l'intégrité et la distribution sécurisée à la surveillance et la disponibilité. Voyez les exigences CRA de mise à jour de sécurité pour le détail au niveau des articles.

Si vous ne pouvez pas produire la colonne de droite aujourd'hui, cet écart est votre tâche à traiter. Un enregistrement VEX et une vérification des dépendances pilotée par le SBOM couvrent directement deux de ces lignes. Votre diligence raisonnable fournisseur couvre la ligne de confiance du build pour les composants que vous n'avez pas écrits.

Questions fréquentes

L'avis ENISA sur les mécanismes de mise à jour sécurisés est-il obligatoire ?

Non. C'est un projet d'avis technique, pas un avis juridique, et l'ENISA indique qu'il ne constitue pas une présomption de conformité. Les obligations contraignantes vivent dans le CRA, principalement les exigences de mise à jour de l'annexe I. L'avis vous aide à les respecter en pratique, mais une autorité de surveillance du marché vous évalue au regard du Règlement (UE) 2024/2847, pas de ce document. En France, l'ANSSI (Agence nationale de la sécurité des systèmes d'information) est l'autorité nationale française de cybersécurité, et ce sont les obligations contraignantes du CRA, pas cet avis, qui s'imposent à vous.

En quoi est-ce différent du playbook ENISA Secure by Design ?

Le playbook Secure by Design and Default couvre tout le produit à travers 22 principes et l'ensemble du cycle de vie. Cet avis zoome sur un sous-système, le canal de mise à jour, et approfondit ses sept étapes, ses menaces et ses contrôles. Lisez le playbook pour les principes à l'échelle du produit, et cet avis quand vous concevez ou auditez l'updater lui-même.

Quelles exigences du CRA un mécanisme de mise à jour sécurisé satisfait-il ?

Un mécanisme de mise à jour sécurisé est la manière dont vous respectez les obligations de mise à jour de l'annexe I du CRA. En clair, il vous permet de montrer que vous savez livrer des correctifs de sécurité rapidement, les acheminer par un canal qui ne peut pas être altéré, les protéger de la corruption, laisser les utilisateurs les recevoir automatiquement tout en gardant un certain contrôle, et signaler aux utilisateurs quand une mise à jour compte. Les contrôles construire, distribuer, vérifier et récupérer de cet avis s'alignent sur chacun de ces points. Voyez les exigences CRA de mise à jour de sécurité pour le détail au niveau des articles.

Dois-je implémenter TUF ou Uptane ?

Non. L'avis est agnostique sur le plan technologique et dit seulement que ses recommandations sont cohérentes avec TUF, Uptane et NIST SP 800-40. Le socle est une ancre de confiance sur l'appareil, des métadonnées signées, une vérification sur l'appareil et l'anti-retour arrière. TUF et Uptane formalisent plusieurs rôles de signature et des métadonnées de fraîcheur pour les conceptions à plus forte assurance, donc adoptez-les si votre profil de risque le demande.

Qu'est-ce que l'anti-retour arrière et pourquoi l'avis y insiste-t-il ?

L'anti-retour arrière empêche un attaquant de forcer un appareil à revenir sur une version plus ancienne, vulnérable, mais toujours valablement signée. C'est une attaque par gel ou par rétrogradation, et elle apparaît aux étapes de recherche, de vérification et d'installation. L'exemple du thermostat utilise un compteur de retour arrière conservé en stockage protégé et augmenté seulement après que le nouveau firmware démarre et passe ses contrôles de santé. Sans lui, une mise à jour signée mais ancienne franchit la vérification de signature.

Comment soumettre des retours à l'ENISA ?

L'ENISA collecte les retours via une enquête publique, avec une échéance au 10 juillet 2026. Vous pouvez lire le PDF du projet d'avis sur le site de l'ENISA, où le lien de l'enquête est aussi publié. Si vous livrez des mises à jour à des produits comportant des éléments numériques, votre modèle de livraison réel est exactement ce sur quoi l'ENISA a demandé aux fabricants de se prononcer.

Étapes suivantes

Ce qu'il faut faire avant l'échéance du 10 juillet

  1. Dessinez votre propre version du schéma en sept étapes pour un produit réel. Marquez lequel des quatre modèles de livraison vous utilisez et quelles étapes vous contrôlez réellement.
  2. Passez le tableau des sept menaces sur ce produit. Pour chaque ligne, notez le contrôle dont vous disposez aujourd'hui et la preuve que vous pourriez montrer, en utilisant les exigences CRA de mise à jour de sécurité comme liste de contrôle.
  3. Comblez d'abord les deux écarts de preuve les plus faciles : générez un SBOM dans votre chaîne de build et mettez en place des enregistrements VEX pour le lien avec les avis de sécurité.
  4. Si votre conception manque d'anti-retour arrière ou d'installation atomique, évaluez un cadre de mise à jour maintenu (Mender, RAUC, SWUpdate, OSTree) avant de le construire vous-même. C'est le contrôle le plus difficile à ajouter après coup et celui que l'ENISA souligne le plus.

Cet article est fourni à titre d'information uniquement et ne constitue pas un avis juridique. Pour des conseils de conformité spécifiques, consultez un conseil juridique qualifié.

CRA Sécurité ENISA Chaîne d'Approvisionnement Secure by Design
Share

Articles connexes

Retour à tous les articles

Le CRA s'applique-t-il à votre produit ?

Répondez à 6 questions simples pour savoir si votre produit relève du champ d'application du règlement sur la cyberrésilience de l'UE. Obtenez votre résultat en moins de 2 minutes.

Vérifier maintenant

Prêt à atteindre la conformité CRA ?

Commencez à gérer vos SBOMs et votre documentation de conformité avec CRA Evidence.

Démarrer l'essai gratuit de 14 jours

Exploration approfondie des thèmes du CRA

Guides de référence sur les exigences, processus et rôles définis par le règlement sur la cyberrésilience (CRA).

Déclaration UE de conformité

Ce que la Déclaration de conformité doit contenir, qui la signe et quand elle est requise.

Lire le guide →
Évaluation de la conformité

Comment fonctionne l'évaluation de conformité sous le CRA et quand un organisme notifié est requis.

Lire le guide →
Documentation technique

Ce que la documentation technique CRA doit contenir (Annexe VII section par section) et comment les fabricants doivent la structurer.

Lire le guide →
Exigences SBOM

Ce que le CRA exige pour les SBOM et comment BSI TR-03183 définit les critères de qualité.

Lire le guide →
Notification des vulnérabilités

Comment fonctionne l'obligation de notification à l'ENISA sous 24 heures et ce qui compte comme une vulnérabilité activement exploitée.

Lire le guide →
Obligations de l'importateur

Ce que l'article 19 exige des importateurs et comment vérifier la conformité du fabricant.

Lire le guide →
Planification de la période de support

Ce que l'obligation de période de support du CRA implique pour les mises à jour de sécurité et la planification de fin de vie.

Lire le guide →
Voir le guide complet de conformité au CRA