Comment nous avons aidé un fabricant de premier plan spécialisé dans la sécurité électrique à combler des failles de sécurité critiques
Découvrez comment le cadre d'évaluation CRA d'eInfochips a permis de mettre au jour des vulnérabilités cachées dans un dispositif de surveillance de l'isolation destiné aux systèmes CA/CC non mis à la terre — et a fourni une feuille de route claire pour se mettre en conformité avant l'expiration des délais réglementaires.
Principales conclusions et résultats :
- Analyse complète des écarts par rapport à l'annexe CRA — Évaluation du dispositif au regard de chacune des exigences de l'annexe CRA : architecture de sécurité, gestion des vulnérabilités, documentation technique et d'utilisation, et évaluation de la conformité.
- Des failles de sécurité critiques ont été mises au jour : absence d'authentification et de chiffrement des données en transit, contrôles d'accès insuffisants, absence de protection contre les attaques par déni de service (DoS) et absence totale de fonctionnalités de journalisation ou de surveillance.
- Lacunes identifiées dans la gestion des vulnérabilités — Absence constatée de processus de divulgation des CVE, absence de politique officielle en matière de divulgation des vulnérabilités ou de mises à jour, et couverture limitée des analyses de fichiers binaires et des tests d'intrusion.
- Évaluation de l'état de préparation de la documentation — Identification des informations manquantes concernant les versions logicielles, de la documentation d'assistance incomplète et de l'absence de documentation relative à l'usage prévu, toutes nécessaires pour la conformité aux exigences de la CRA.
- Remise d'une feuille de route concrète en matière de conformité — Nous avons fourni un rapport détaillé d'analyse des écarts, comprenant une classification par défaut des catégories de produits, offrant ainsi au client une feuille de route claire et hiérarchisée pour se mettre en conformité avec la CRA.