Sécurité des produits AMD
Décrit l'approche d'AMD en matière de gestion des vulnérabilités, de divulgation coordonnée et d'atténuation des risques de l'entreprise.
Se préparer au Règlement sur la cyberrésilience de l'Union européenne avec AMD
Le Règlement sur la cyberrésilience (CRA) de l'Union européenne représente une avancée importante dans la définition des exigences en matière de cybersécurité pour les produits dans un monde de plus en plus numérique. En tant que leader du secteur des calculs hautes performances, AMD participe activement au processus de normalisation pour aider à définir les exigences qui améliorent la cybersécurité tout en favorisant l'innovation.
AMD s'engage pleinement à respecter toutes les exigences applicables du Règlement sur la cyberrésilience (CRA) et à s'assurer que les clients opérant dans l'UE déploient des technologies AMD conformes au CRA. Notre investissement continu dans la conception sécurisée des produits, la gestion des vulnérabilités et les processus de conformité nous permet de répondre aux exigences du CRA dès leur entrée en vigueur.
Qu'est-ce que le CRA de l'UE ?
Le CRA vise à protéger les consommateurs et les entreprises en introduisant des exigences de cybersécurité obligatoires pour les fabricants et les détaillants de produits avec des composants numériques. Cette protection s'étend tout au long du cycle de vie du produit et s'applique aux appareils connectés, à quelques exceptions près pour des produits déjà couverts par des réglementations existantes.
Le CRA s'applique directement aux microprocesseurs et FPGA dotés de fonctions de sécurité, ainsi qu'aux produits finaux tels que les serveurs, les PC portables, les appareils embarqués et les appareils grand public.
Dates clés
Comment assurer la conformité ?
La conformité aux exigences du CRA est essentielle pour toute entreprise opérant dans l'UE, car elle garantit un accès légal au marché de l'UE et renforce la confiance avec les clients en démontrant un engagement fort en matière de cybersécurité tout au long du cycle de vie du produit. Le CRA étant basé sur les risques, la première étape consiste à effectuer une évaluation des risques de vos produits. L'évaluation des risques vous informe des menaces qui peuvent s'appliquer au produit et détermine par la suite les exigences de cybersécurité qui doivent être respectées pour atteindre la conformité.
Votre parcours vers la conformité dépendra des résultats de cette évaluation des risques. Les processus de sécurité des produits, la documentation et les pratiques de divulgation d'AMD sont conçus pour compléter vos évaluations des risques CRA.
L'approche d'AMD pour permettre l'innovation dans le cadre du CRA repose sur trois piliers :
Conformité
Les clients AMD peuvent déployer en toute confiance les produits AMD les plus performants du marché sur les marchés réglementés de l'UE.
Capacités
L'accès à des fonctions de sécurité ultra-modernes permet d'utiliser toutes les applications, même les plus critiques.
Communication
AMD tient ses clients informés grâce à une documentation sur le long terme et à des rapports de vulnérabilité.
Conformité
Conformité des produits AMD aux exigences du CRA
Dans le cadre du CRA, les produits sont classés en fonction des fonctionnalités liées à la cybersécurité ou de la fonction et du niveau de risque de cybersécurité présenté par le produit. Cette classification détermine les mesures que les fabricants doivent prendre pour atteindre la conformité. Selon les cadres actuels du CRA, les produits AMD devraient être classés dans les catégories suivantes :
- Par défaut : La plupart des outils de développement AMD standard
- Classe I (important) :
- Processeurs et FPGA avec fonctions de sécurité
- Certaines solutions intégrées et certains composants software essentiels à la sécurité
Certaines normes verticales du CRA sont encore en cours de finalisation par les organismes de normalisation. AMD participe activement à ces développements et mettra à jour ses directives dès la publication des normes finales. AMD suivra toutes les règles et réglementations nécessaires du CRA sur la base de ces classifications et vous fournira ainsi des produits conformes sur lesquels vous pourrez vous appuyer.
Capacités
Fonctionnalités de sécurité de pointe avec les produits AMD
La sécurité doit être prise en compte tout au long du cycle de vie des produits afin d'optimiser la protection d'un système. Par exemple, développer des solutions de sécurité tolérantes aux pannes au niveau des applications puis les déployer sur un appareil qui ne démarre pas de manière sécurisée revient à construire un manoir sur du sable. AMD et nos clients ont chacun un rôle à jouer dans la conception de systèmes qui gèrent la sécurité. Il est également important de reconnaître qu'aucun système n'est totalement à l'abri des attaques : avec suffisamment de temps, d'énergie, de ressources et d'argent, il est possible de compromettre n'importe quel système. La sécurité consiste à gérer les risques et à déterminer le niveau d'investissement qu'un client souhaite consentir à cette fin.
AMD utilise des pratiques qui ont fait leurs preuves pour établir la fiabilité de ses puces, ses software et ses outils de développement. Des contre-mesures conçues pour aider à la protection contre une myriade de vecteurs d'attaque sont intégrées aux puces. Le démarrage ou la configuration sécurisés de nos produits font appel à une racine de confiance hardware intégrant l'authenticité, la confidentialité et l'intégrité.
Nous préparons l'avenir en commençant dès maintenant à intégrer les exigences de conception spécifiques établies dans le cadre du CRA à la méthodologie de conception d'AMD. Pour plus d'informations sur les technologies de sécurité AMD spécifiques, contactez votre représentant commercial AMD local.
Communication
Documentation
Pour maximiser la sécurité tout au long du cycle de vie du produit, le CRA exige que plusieurs aspects clés soient documentés, notamment l'évaluation des risques, une déclaration de conformité UE, une nomenclature software (SBOM) et des informations sur la période de support, qui définit la durée minimale qu'un fournisseur prévoit de maintenir la conformité au CRA. AMD examine actuellement ses processus existants et bien établis pour s'assurer de la conformité avec les exigences de documentation du CRA.
Rapports de vulnérabilité
En tant que membre CNA (CVE Numbering Authority), AMD suit déjà des pratiques coordonnées de divulgation des vulnérabilités et s'assure de réagir rapidement et de manière appropriée aux problèmes signalés. AMD s'appuie sur cette expertise éprouvée pour se conformer aux exigences spécifiques de gestion des vulnérabilités du CRA. Pour plus d'informations, consultez la page sur la sécurité des produits AMD.
Les engagements d'AMD
Si vous n'avez pas encore eu à intégrer la cybersécurité des produits dans vos exigences, cette nouvelle législation pourrait présenter des défis inédits. Avec plus de 50 ans d'expérience au service des applications critiques, AMD dispose de l'expertise nécessaire pour vous aider à faire face à ces changements en fournissant des technologies qui répondent aux exigences du CRA.
