SESIP: méthodologie d'évaluation cybersécurité IoT
Guide. SESIP / GlobalPlatform
SESIP (Security Evaluation Standard for IoT Platforms) est la méthodologie d'évaluation de cybersécurité que GlobalPlatform a publiée en mai 2020 sous la reference GP_FST_070. Dérivée des Criteres Communs ISO/IEC 15408 mais optimisée pour les plateformes IoT contraintes, elle organise l'évaluation en cinq niveaux d'assurance alignes sur l'échelle AVA_VAN. Sa spécificité reside dans la composition : un composant evalue (puce, OS securise, pile crypto) peut être integre dans une plateforme puis dans un produit final sans revérification complete. Les preuves SESIP peuvent appuyer un dossier technique RED 3.3 construit sur la série EN 18031, et SESIP est l'ossature technique d'ETSI EN 17927 et du futur schéma EUCC. Ce guide expose son origine, sa structure d'évaluation, l'articulation avec PSA Certified et les Criteres Communs, et les pieges les plus fréquents.
Origine et problème adresse
Section intitulée « Origine et problème adresse »Jusqu'a la fin des années 2010, l'évaluation formelle de cybersécurité des composants électroniques relevait essentiellement de la Common Criteria Recognition Arrangement (CCRA). Les Criteres Communs (CC), formalises par la norme ISO/IEC 15408 et son corpus méthodologique ISO/IEC 18045, restent la reference mondiale pour les évaluations a fort niveau d'assurance, notamment dans les domaines bancaire, gouvernemental et identitaire.
Trois caractéristiques des CC les rendent toutefois difficilement applicables au marche IoT de masse :
- la durée typique d'une évaluation EAL 4 ou supérieure (douze a vingt-quatre mois) est incompatible avec les cycles de mise sur le marche d'un capteur connecte ou d'un dispositif domotique ;
- le coût d'une évaluation CC complete (de l'ordre de plusieurs centaines de milliers d'euros pour une cible non triviale) ne se justifie pas économiquement sur un produit IoT de moyenne diffusion ;
- l'absence de mécanisme natif de composition oblige a re-evaluer intégralement la pile a chaque itération produit, alors que l'IoT repose précisément sur l'empilement standardise de briques (silicium, OS, middleware, application).
GlobalPlatform, consortium industriel déjà éditeur des spécifications Card Specification (carte a puce) et TEE (Trusted Execution Environment), a engage en 2018 le projet SESIP pour combler ce vide. La version 1.0 publique a ete publiée le 26 mai 2020 sous la reference GP_FST_070, sous-titree "Security Evaluation Standard for IoT Platforms". Une révision incrémentale est en préparation, avec un alignement attendu sur la version 2022 d'ISO/IEC 15408 (révision majeure des CC).
SESIP herite du vocabulaire CC : Security Target, Security Problem Definition, Security Objectives, Security Functional Requirements, classe AVA_VAN. Elle introduit en revanche un profil unique cible IoT (au lieu du Protection Profile sur mesure des CC), un ensemble réduit et fixe de classes d'assurance, et un mécanisme explicite de composition de certificats.
Trois niveaux de granularité d'évaluation
Section intitulée « Trois niveaux de granularité d'évaluation »SESIP distingue formellement trois niveaux de cible d'évaluation, qui correspondent aux trois etages typiques d'une pile IoT.
| Niveau de cible | Description | Exemples typiques |
|---|---|---|
| Composant | Bloc atomique de la pile, matériel ou logiciel | MCU avec secure boot, eUICC, élément securise, OS de confiance |
| Plateforme | Assemblage matériel et logiciel offrant des services de sécurité | MCU + bootloader + OS securise + bibliothèque crypto |
| Produit | Dispositif IoT complet intégrant une plateforme | Compteur intelligent, passerelle domotique, capteur industriel |
Cette granularité a une conséquence économique directe : un fournisseur de silicium peut faire certifier son composant une fois, puis fournir le certificat et la documentation associée a tous ses intégrateurs en aval. L'intégrateur réutilisé ce certificat dans l'évaluation de sa plateforme ou de son produit, en démontrant par un argument de composition que les hypothèses du certificat amont restent satisfaites dans le contexte d'intégration.
Les cinq niveaux d'assurance SESIP
Section intitulée « Les cinq niveaux d'assurance SESIP »SESIP définit cinq niveaux d'assurance numerotes 1 a 5, alignes sur les composants d'assurance AVA_VAN des Criteres Communs. AVA_VAN designe la classe "Vulnerability Analysis" des CC, déclinée en cinq niveaux gradues selon le potentiel d'attaque resiste.
| Niveau SESIP | AVA_VAN équivalent | Type d'évaluation | Intervention laboratoire | Resistance attendue |
|---|---|---|---|---|
| SESIP 1 | AVA_VAN.1 | Auto-évaluation guidée | Optionnelle | Vulnerabilites publiques connues |
| SESIP 2 | AVA_VAN.2 | Evaluation par laboratoire accredite | Obligatoire | Attaquant disposant d'un potentiel basique |
| SESIP 3 | AVA_VAN.3 | Laboratoire + test d'intrusion en boite noire | Obligatoire | Attaquant disposant d'un potentiel renforce |
| SESIP 4 | AVA_VAN.4 | SESIP 3 + analyse par canaux auxiliaires et injection de fautes | Obligatoire, équipement specialise | Attaquant disposant d'un potentiel moyen, matériel modere |
| SESIP 5 | AVA_VAN.5 | Resistance a l'état de l'art des attaques | Obligatoire, équipement avance | Attaquant a fort potentiel, matériel et expertise eleves |
L'échelle AVA_VAN est documentée dans le Common Methodology for Information Technology Security Evaluation (CEM, ISO/IEC 18045). Le potentiel d'attaque est estime selon cinq facteurs : temps de préparation, expertise requise, connaissance de la cible, fenetre d'opportunité, équipement matériel necessaire. Un score agrege determine le niveau AVA_VAN auquel la cible resiste.
SESIP 1 : auto-évaluation outillée
Section intitulée « SESIP 1 : auto-évaluation outillée »Le niveau 1 vise la conformité documentaire et la revue des vulnérabilités publiques. Le fabricant produit lui-meme la Security Target, décrit les mesures de sécurité, et fournit la preuve que les vulnérabilités publiques connues (CVE, CWE) applicables a son produit sont traitées. Aucune intervention de laboratoire n'est obligatoire. L'évaluation est revue par l'organisme de certification sur la base du dossier seul.
SESIP 2 : laboratoire accredite, test fonctionnel
Section intitulée « SESIP 2 : laboratoire accredite, test fonctionnel »Le niveau 2 introduit l'examen par un laboratoire d'essai accredite par un schéma GlobalPlatform. Le laboratoire verifie la cohérence de la Security Target, exerce les fonctions de sécurité déclarées, et conduit une revue de vulnérabilités etendue. La résistance attendue couvre un attaquant disposant d'un potentiel basique : outils standards, sans équipement specialise, sans expertise approfondie de la cible.
SESIP 3 : test d'intrusion en boite noire
Section intitulée « SESIP 3 : test d'intrusion en boite noire »Le niveau 3 ajoute un test d'intrusion logique en boite noire (pénétration test). Le laboratoire tente activement de contourner les fonctions de sécurité en utilisant des interfaces accessibles a l'attaquant, sans connaissance du code source ou des cles. La résistance attendue couvre un attaquant disposant d'un potentiel renforce : expertise non triviale, outils logiciels avances, mais sans équipement matériel sophistique.
SESIP 4 : canaux auxiliaires et injection de fautes
Section intitulée « SESIP 4 : canaux auxiliaires et injection de fautes »Le niveau 4 introduit deux familles de tests matériels :
- l'analyse par canaux auxiliaires (side-channel analysis), qui exploite les fuites d'information par mesure de consommation électrique (Simple Power Analysis, Differential Power Analysis), émission électromagnétique ou temps de réponse pour extraire des secrets cryptographiques ;
- l'analyse par perturbation (fault injection), qui injecte volontairement des perturbations (variation de tension, impulsion électromagnétique, laser focalise) pour faire dévier l'exécution du circuit et contourner les controles de sécurité.
Ces tests requièrent un équipement de laboratoire specialise (oscilloscopes haut de gamme, banc EM, banc laser, stations de micro-positionnement) et une expertise pointue. Le niveau 4 est typiquement vise par les composants de paiement, les eUICC haut de gamme et les éléments securises commerciaux.
SESIP 5 : résistance a l'état de l'art
Section intitulée « SESIP 5 : résistance a l'état de l'art »Le niveau 5 cible la résistance aux attaques de l'état de l'art mondial : potentiel d'attaquant très eleve, temps de préparation prolonge, équipement de pointe (microscope électronique a balayage, FIB pour édition de circuit, analyse au substrat). Ce niveau est typique des composants d'identité gouvernementale, de cartes bancaires haut de gamme et de modules de sécurité matérielle (HSM) certifies. Très peu de produits IoT grand public visent ce niveau, dont le coût d'évaluation se compte en centaines de milliers d'euros.
Comparaison SESIP, Criteres Communs, PSA Certified
Section intitulée « Comparaison SESIP, Criteres Communs, PSA Certified »Le tableau ci-dessous met en regard les trois cadres d'évaluation cybersécurité les plus utilises pour les composants et plateformes IoT.
| Dimension | SESIP | Criteres Communs (ISO/IEC 15408) | PSA Certified |
|---|---|---|---|
| Editeur | GlobalPlatform | ISO, CCRA, schémas nationaux | Arm et partenaires |
| Reference | GP_FST_070 v1.0 (mai 2020) | ISO/IEC 15408:2022 et CEM | PSA Certified spécifications |
| Cible | Plateformes et composants IoT | Tous produits IT | Plateformes IoT et MCU Arm |
| Profil | Profil SESIP unique | Protection Profile sur mesure | Profil PSA + reference SESIP |
| Niveaux | 5 (SESIP 1 a 5) | 7 EAL + AVA_VAN.1 a .5 | 3 (PSA niveau 1, 2, 3) |
| Composition native | Oui, mécanisme explicite | Composition CC (rare, lourde) | Oui, herite de SESIP |
| Duree typique d'évaluation | Quelques semaines a quelques mois | Six a vingt-quatre mois | Quelques semaines a quelques mois |
| Cout typique d'évaluation | Decizaines a centaines de milliers d'euros | Centaines de milliers d'euros | Decizaines a centaines de milliers d'euros |
| Reconnaissance réglementaire | Preuve à l'appui pour RED 3.3 (dossier EN 18031, UE), EUCC (en cours) | CCRA, EUCC, schémas nationaux | Preuve à l'appui via l'alignement SESIP |
| Cas d'usage typique | MCU IoT, eUICC, OS securise, dispositif IoT | Carte a puce, HSM, OS gouvernemental | MCU et plateformes Arm Cortex-M, Cortex-A |
L'équivalence approximative entre niveaux SESIP et niveaux PSA est la suivante : PSA niveau 1 est une auto-attestation alignée sur la 10-Question Assessment du PSA Functional API, sans mapping SESIP direct ; PSA niveau 2 correspond pratiquement a SESIP niveau 3 (laboratoire plus pénétration test) ; PSA niveau 3 correspond a SESIP niveau 4 (canaux auxiliaires et injection de fautes), avec extension possible vers SESIP niveau 5 pour les cibles les plus exigeantes. Cette équivalence n'est pas absolue et dépend du périmètre de la Security Target.
L'équivalence entre niveaux SESIP et EAL Criteres Communs n'existe pas formellement. SESIP niveau 4 n'équivaut pas a EAL 4. Les EAL agrègent l'assurance sur sept classes (ADV, AGD, ALC, ATE, AVA, et anciennement ACM, ASE, APE), tandis que les niveaux SESIP se concentrent sur l'échelle AVA_VAN. Confondre les deux échelles dans une déclaration de conformité est un piege courant et un motif fréquent de refus par les organismes de certification.
Profil SESIP et évaluation par composition
Section intitulée « Profil SESIP et évaluation par composition »Le profil SESIP joue le rôle qu'un Protection Profile (PP) joue dans les Criteres Communs : il définit le cadre de la Security Target. Mais la, ou un PP CC est spécifique au produit ou a la famille de produit considérée, le profil SESIP est unique et générique, applicable a toute plateforme IoT. La Security Target instancie le profil pour un produit donne en remplissant les sections obligatoires :
- TOE description (Target Of Evaluation) : ce qui est evalue, ce qui ne l'est pas, frontière precise du périmètre ;
- Security problem définition : menaces considérées, hypothèses sur l'environnement, politiques organisationnelles ;
- Security objectives : objectifs de sécurité couverts par le produit, ceux couverts par l'environnement ;
- Security functional requirements (SFR) : exigences fonctionnelles sélectionnées dans le catalogue SESIP (qui reprend une partie de ISO/IEC 15408-2) ;
- TOE security functionality (TSF) : description concrète des mécanismes implementes.
Composition de certificats
Section intitulée « Composition de certificats »Le mécanisme de composition est l'apport central de SESIP. Soit un composant evalue SESIP niveau X avec un certificat C1. Soit une plateforme intégrant ce composant et évaluée SESIP niveau Y (avec Y inférieur ou égal a X). L'évaluation de la plateforme réutilisé le certificat C1 comme élément de preuve, sans revérifier intégralement le composant, a deux conditions :
- les hypothèses environnementales du composant (operating environment assumptions) doivent être satisfaites dans le contexte d'intégration de la plateforme ;
- les politiques de sécurité déclarées par le composant doivent être cohérentes avec celles de la plateforme.
Ces deux conditions sont documentées dans un argument de composition (composition rationale) ajoute a la Security Target de la plateforme. Le laboratoire qui evalue la plateforme verifie cet argument, mais n'a pas a refaire les tests dont le composant a déjà fait l'objet.
Exemple : composition silicium vers plateforme vers produit
Section intitulée « Exemple : composition silicium vers plateforme vers produit »L'exemple ci-dessous illustre la composition typique le long d'une pile IoT.
| Etage | Cible d'évaluation | Niveau vise | Element réutilisé |
|---|---|---|---|
| Silicium | MCU avec secure boot et stockage securise | SESIP 4 (canaux auxiliaires) | Certificat composant, Security Target chip |
| Plateforme | MCU + bootloader + OS securise + pile crypto | SESIP 3 | Certificat MCU + Security Target plateforme |
| Produit | Capteur IoT intégrant la plateforme + firmware applicatif | SESIP 2 | Certificat plateforme + Security Target produit |
Le fabricant final, qui integre un MCU certifie SESIP 4 dans son produit, peut viser SESIP 2 sur le produit complet en s'appuyant sur le certificat amont. L'effort d'évaluation porte alors sur le firmware applicatif et l'intégration, pas sur le MCU lui-meme.
Cette logique transforme l'économie de la certification IoT : un effort initial concentre chez le fournisseur silicium est valorise sur l'ensemble des produits aval. Un produit final non certifie aujourd'hui peut viser un niveau SESIP modeste avec un effort raisonnable des lors qu'il integre des composants certifies SESIP de niveau égal ou superieur.
SESIP dans le paysage européen : EN 17927, EN 18031, EUCC
Section intitulée « SESIP dans le paysage européen : EN 17927, EN 18031, EUCC »L'intégration de SESIP dans le cadre réglementaire européen s'est faite par trois canaux distincts.
ETSI EN 17927
Section intitulée « ETSI EN 17927 »Publiee en 2023, ETSI EN 17927 ("Methods and protocols, security évaluation of IoT") est une norme européenne dérivée directement de SESIP. Le texte reprend la structure des cinq niveaux, le mécanisme de composition et le catalogue d'exigences fonctionnelles. EN 17927 constitue le pendant européen normatif de SESIP, exploitable dans les schémas réglementaires de l'UE.
Serie EN 18031
Section intitulée « Serie EN 18031 »La serie EN 18031-1/-2/-3, publiée en août 2024 et listée au Journal officiel de l'Union européenne en janvier 2025, définit les normes harmonisées pour la conformité a l'article 3.3 de la directive RED (cybersécurité des équipements radio). EN 18031 ne définit aucun niveau d'assurance : chaque exigence est évaluée via des arbres de décision, avec une évaluation conceptuelle plus des vérifications de complétude et de suffisance fonctionnelles, conclues conforme ou non conforme. Concrètement, un dispositif radio IoT visé par RED 3.3 peut s'appuyer sur le certificat SESIP de sa plateforme comme preuve à l'appui de ces évaluations, en complément de la documentation prévue par EN 18031.
Pour plus de détail sur la mise sur le marche radio européenne, voir notre guide ETSI EN 303 645, qui couvre le référentiel volontaire complémentaire pour l'IoT consommateur.
Schema EUCC sous le Cybersecurity Act
Section intitulée « Schema EUCC sous le Cybersecurity Act »Le Common Criteria schème européen (EUCC) est le premier schéma de certification adopte sous le Cybersecurity Act (règlement (UE) 2019/881). Adopte par règlement d'exécution (UE) 2024/482 et applicable depuis février 2025, EUCC reprend la structure des Criteres Communs et prévoit l'incorporation de SESIP pour les évaluations IoT.
La connexion entre EUCC, SESIP et le Cyber Resilience Act (CRA, règlement (UE) 2024/2847, applicable a partir du 11 décembre 2027) est en cours de définition par l'ENISA. L'esquisse actuelle prévoit que pour les produits "importants" et "critiques" au sens du CRA, une certification sous EUCC ou un programme reconnu (incluant SESIP) sera présomption de conformité. Le calendrier précis et le périmètre exact dépendent des actes d'exécution attendus en 2026 et 2027.
SESIP et PSA Certified : un alignement opérationnel
Section intitulée « SESIP et PSA Certified : un alignement opérationnel »PSA Certified est le programme de certification opérationnelle pilote par Arm et un consortium de laboratoires (Brightsight, Riscure, SGS Brightsight, TrustCB, UL). Initialement structure autour de trois niveaux PSA propres, le programme a aligne en 2022 ses niveaux PSA niveau 2 et PSA niveau 3 sur les profils SESIP.
| Niveau PSA | Mapping SESIP indicatif | Type de cible | Methode dominante |
|---|---|---|---|
| PSA niveau 1 | Pas de mapping SESIP direct | Auto-attestation guidée par 10-Question Assessment | Documentaire |
| PSA niveau 2 | SESIP niveau 3 | Chip plus PSA Root of Trust | Penetration test boite noire |
| PSA niveau 3 | SESIP niveau 4 (parfois 5) | Chip vise pour applications haute exigence | Canaux auxiliaires et injection de fautes |
Un certificat PSA Certified niveau 2 ou niveau 3 delivre depuis 2022 mentionne explicitement le profil SESIP applique, ce qui permet a un intégrateur en aval de réutiliser ce certificat dans une composition SESIP. Inversement, un fabricant qui souhaite obtenir un certificat PSA passe par un laboratoire accredite SESIP. PSA Certified et SESIP ne sont donc pas concurrents mais complémentaires : SESIP est la méthodologie, PSA un programme opérationnel qui l'instancie pour l'écosystème Arm.
Pour les cas non-Arm (RISC-V, MIPS, x86 embarque), l'évaluation passe directement par SESIP sans intermédiaire PSA.
Ecosysteme des laboratoires accredites
Section intitulée « Ecosysteme des laboratoires accredites »L'évaluation SESIP requiert l'intervention d'un laboratoire accredite par GlobalPlatform (sauf au niveau 1, ou l'auto-évaluation est admise). GlobalPlatform tient une liste publique des laboratoires accredites, mise a jour périodiquement sur le portail sesip.globalplatform.org. Les principaux acteurs au moment de la rédaction de ce guide incluent :
- Brightsight (Pays-Bas, filiale SGS), historiquement laboratoire de reference pour les composants securises bancaires et eUICC ;
- Riscure (Pays-Bas), spécialiste reconnu de l'analyse par canaux auxiliaires et de l'injection de fautes, notamment pour le niveau 4 ;
- SGS (groupe international), portefeuille étendu couvrant la certification produit IoT ;
- TrustCB (Pays-Bas), schéma de certification ITSEF et organisme de délivrance de certificats ;
- UL Solutions (Etats-Unis et Europe), laboratoire diversifie couvrant le segment IoT consommateur et industriel.
Plusieurs laboratoires européens additionnels (Serma Safety and Security en France, T-Systems en Allemagne, applus+ Laboratories en Espagne) sont accredites ou en cours d'accréditation pour les niveaux SESIP 2 et 3. La couverture géographique du SESIP schème s'étend a mesure que les normes EN 17927 et EN 18031 montent en puissance.
Cycle de vie du certificat et maintenance
Section intitulée « Cycle de vie du certificat et maintenance »Un certificat SESIP n'est pas un acte fige. Sa validité repose sur trois conditions tenues dans la durée.
Duree initiale
Section intitulée « Duree initiale »La durée de validité par défaut est fixée par le schéma sous lequel l'évaluation est conduite. La pratique courante observe une validité initiale de cinq ans pour les niveaux SESIP 1 a 3, parfois réduite a deux ou trois ans pour les niveaux 4 et 5 dont la cible est plus exposée a l'évolution rapide des techniques d'attaque.
Maintenance des vulnérabilités
Section intitulée « Maintenance des vulnérabilités »Le fabricant doit tenir un programme de surveillance et de traitement des vulnérabilités (vulnerability management) couvrant la durée de validité. Toute vulnérabilité publiquement découverte affectant la cible ou un composant réutilisé doit être évaluée pour son impact sur le certificat. Une vulnérabilité critique non corrigible peut conduire a la suspension ou au retrait du certificat par l'organisme de certification.
Re-évaluation sur évolution
Section intitulée « Re-évaluation sur évolution »Une évolution majeure de la cible declenche une re-évaluation au moins partielle :
- changement de chip silicium ou de révision majeure ;
- modification du bootloader ou de la chaine de confiance ;
- mise a jour du firmware ajoutant des fonctions accessibles a l'attaquant ;
- introduction de nouvelles interfaces externes (radio additionnelle, debug port).
Les évolutions mineures (correctifs de sécurité, ajustements applicatifs sans changement de surface d'attaque) sont en général traitées par un avenant au certificat, plus rapide qu'une re-évaluation complete.
Pieges fréquents d'une demarche SESIP
Section intitulée « Pieges fréquents d'une demarche SESIP »L'expérience terrain des premières années du programme fait émerger plusieurs écueils récurrents pour les fabricants qui abordent SESIP. Le respect de la méthodologie ne s'improvise pas, et un cadrage rigoureux en amont evite des refus tardifs couteux. AESTECHNO conçoit des produits IoT et suit la maturité de ces méthodologies pour les choix d'architecture cybersécurité.
Voir aussi
Section intitulée « Voir aussi »- PSA Certified: sécurité IoT pilotée par Arm
- TPM 2.0 et sécurité matérielle TCG
- Common Criteria (ISO/IEC 15408) : sécurité IT
- CRA : Cyber Resilience Act, exigences UE numérique
- IEC 62443 (ISA-99), cybersécurité des systèmes industriels
- ETSI EN 303 645 : cybersécurité IoT consommateur
1. Sous-cadrage de la Security Target
Section intitulée « 1. Sous-cadrage de la Security Target »Le piege le plus fréquent est une Security Target incomplète ou floue. Le fabricant décrit les fonctions de sécurité implémentées mais neglige les sections environnementales (hypothèses, politiques organisationnelles, menaces non couvertes). Le laboratoire retourne alors la cible pour complétion, retardant l'évaluation. Une Security Target solide consacre autant d'effort a définir le périmètre (TOE) et son environnement qu'a décrire les mécanismes techniques.
2. Confusion entre niveaux SESIP et EAL Criteres Communs
Section intitulée « 2. Confusion entre niveaux SESIP et EAL Criteres Communs »La tentation de présenter "SESIP 4 équivalent EAL 4" dans une plaquette commerciale conduit a un refus quasi immediat. Les deux échelles ne sont pas equivalentes. SESIP niveau 4 garantit une résistance AVA_VAN.4 mais ne couvre pas l'ensemble des classes d'assurance d'un EAL 4. Une déclaration de conformité doit citer SESIP avec son niveau, sans équivalence numérique avec les EAL. Les Criteres Communs (sujet d'un guide dedie sur spilma) restent un cadre distinct, complémentaire mais non équivalent.
3. Composition mal justifiée
Section intitulée « 3. Composition mal justifiée »La composition est l'apport central de SESIP mais aussi le point ou les fabricants achoppent le plus souvent. Réutiliser un certificat composant sans démontrer formellement que toutes les hypothèses d'environnement de ce certificat sont satisfaites dans le contexte d'intégration conduit au refus. Un certificat MCU peut stipuler que le boîtier est censé être protege contre les attaques physiques (hypothèse environnementale) ; si l'intégration place le MCU dans un boîtier ouvert (ex. capteur extérieur facilement démontable), l'hypothèse n'est pas satisfaite et la composition ne tient pas. L'argument de composition doit être explicitement redige et verifie par le laboratoire.
4. Choix de niveau inadapté
Section intitulée « 4. Choix de niveau inadapté »Viser SESIP 4 ou 5 sans necessite économique ou réglementaire est un autre piege. Le surcoût d'évaluation est significatif : les tests de canaux auxiliaires et d'injection de fautes mobilisent des semaines d'équipement specialise. Un produit IoT grand public (capteur domotique, ampoule connectée) atteint son objectif réglementaire avec SESIP 2 ou 3 et n'a pas a viser plus haut. Le niveau doit découler d'une analyse de risque produit et de la cartographie réglementaire visée, pas d'une volonté marketing.
5. Sous-estimation de la maintenance
Section intitulée « 5. Sous-estimation de la maintenance »Un certificat SESIP n'est pas un livrable de fin de projet. La durée de validité de cinq ans implique un engagement de surveillance des vulnérabilités, de gestion des CVE affectant les composants réutilisés, et de re-évaluation lors des évolutions majeures. Le budget d'évaluation initial doit être complete d'un budget de maintenance, faute de quoi le certificat est suspendu en cours de vie commerciale du produit.
Lecture conseillée et intégration au projet
Section intitulée « Lecture conseillée et intégration au projet »SESIP s'inscrit dans une pile cybersécurité IoT plus large. Pour un fabricant qui aborde le sujet pour la première fois, l'ordre de lecture conseille est le suivant :
- Cadrage réglementaire européen : comprendre l'article 3.3 de la directive RED, la serie EN 18031 et l'horizon CRA. Voir notre actualité sur la publication des normes EN 18031 et le guide ETSI EN 303 645 pour le référentiel volontaire complémentaire.
- Methodologie d'évaluation : ce guide SESIP, complete pour les besoins haut de gamme par les Criteres Communs (sujet d'un guide dedie a venir, dont la reference ISO/IEC 15408 est citée en sources).
- Programme opérationnel : PSA Certified pour les plateformes Arm (sujet d'un guide dedie a venir), SESIP direct pour les autres ecosystemes.
- Mise en oeuvre projet : architecture cybersécurité du produit, choix des composants certifies, rédaction de la Security Target, planification de l'évaluation avec un laboratoire accredite.
Le glossaire spilma regroupe les définitions des termes techniques manipules ici (TOE, SFR, AVA_VAN, Protection Profile, composition rationale).
Synthese
Section intitulée « Synthese »SESIP est aujourd'hui la méthodologie d'évaluation cybersécurité la mieux adaptée a la réalité industrielle de l'IoT : elle reprend la rigueur des Criteres Communs, simplifie la mise en oeuvre, autorise la composition de certificats le long de la pile silicium-plateforme-produit, et beneficie d'une reconnaissance réglementaire européenne croissante via EN 17927, EN 18031 et le futur EUCC. Pour un fabricant IoT qui anticipe les obligations CRA de 2027, la connaissance de SESIP n'est plus optionnelle. Les choix d'architecture en phase de conception, notamment le choix d'un composant silicium déjà certifie SESIP, conditionnent directement le coût et la durée de l'évaluation produit. Le suivi des actes d'exécution du Cybersecurity Act et du CRA, attendus en 2026 et 2027, complétera le tableau réglementaire et figera la place precise de SESIP dans le paysage de certification européen.
Pour aller plus loin
Section intitulée « Pour aller plus loin »- Publication des normes EN 18031 : présomption de conformité RED 3.3 et fonctionnement de l'évaluation
- Guide ETSI EN 303 645 : référentiel volontaire IoT consommateur, complémentaire de SESIP
- Glossaire spilma : définitions des termes ISO/IEC 15408, AVA_VAN, Protection Profile, composition
Sources & références
- GlobalPlatform SESIP methodology, programme overview , GlobalPlatform globalplatform.org/sesip/
- GP_FST_070 v1.0 Public Release, SESIP methodology specification , GlobalPlatform globalplatform.org/wp-content/uploads/2020/05/GP_FST_070_SESIP_v1.0.0_PublicRelease.pdf
- ETSI EN 17927, security évaluation standard for IoT platforms , ETSI www.etsi.org/standards-search?search=EN+17927
- ISO/IEC 15408, évaluation criteria for IT security , ISO www.iso.org/standard/72891.html
- CENELEC, portail des normes harmonisées (serie EN 18031) , CENELEC www.cenelec.eu/
- PSA Certified, certification programme operated under SESIP , Arm and partners www.psacertified.org/
- ENISA, EUCC candidate schème under the Cybersecurity Act , ENISA www.enisa.europa.eu/topics/certification
Questions fréquentes
- Qu'est-ce que SESIP et qui en est l'éditeur ?
- SESIP (Security Evaluation Standard for IoT Platforms) est une méthodologie d'évaluation de cybersécurité publiée par GlobalPlatform, consortium industriel base a Redwood City. La version 1.0 publique a ete publiée en mai 2020 sous la reference GP_FST_070. SESIP est dérivée des Criteres Communs ISO/IEC 15408 mais optimisée pour les plateformes IoT contraintes : composants silicium, systèmes d'exploitation embarques, piles applicatives et produits IoT complets. Elle vise des délais d'évaluation plus courts et la réutilisation des résultats par composition le long de la pile.
- Combien de niveaux SESIP existe-t-il et a quoi correspondent-ils ?
- SESIP définit cinq niveaux d'assurance numerotes 1 a 5, alignes sur l'échelle AVA_VAN des Criteres Communs. Le niveau 1 repose sur une auto-évaluation accompagnée d'AVA_VAN.1 (revue de vulnérabilités publiques). Le niveau 2 ajoute AVA_VAN.2 et l'intervention d'un laboratoire accredite. Le niveau 3 introduit AVA_VAN.3 et un test d'intrusion en boite noire. Le niveau 4 exige AVA_VAN.4 avec analyse par canaux auxiliaires et injection de fautes. Le niveau 5 cible la résistance a l'état de l'art des attaques (AVA_VAN.5), typiquement pour les éléments securises et eUICC.
- Quelle différence entre SESIP et les Criteres Communs classiques ?
- SESIP réutilisé le langage des Criteres Communs (Security Target, Security Functional Requirements, AVA_VAN) mais simplifie le processus. Les Criteres Communs imposent un Protection Profile lourd et une évaluation par EAL (Évaluation Assurance Level) couvrant l'ensemble des classes ADV, AGD, ALC, ATE, AVA. SESIP définit un profil unique cible IoT, réduit les obligations documentaires aux preuves strictement utiles, et structure les paquets pour la composition (un composant SESIP peut être integre dans une plateforme ou un produit SESIP sans revérification complete).
- SESIP est-il reconnu par la réglementation européenne ?
- Oui, indirectement. Pour l'article 3.3 de la directive RED, une évaluation SESIP de la plateforme sous-jacente peut alimenter le dossier technique comme preuve à l'appui des évaluations conceptuelle et fonctionnelles EN 18031, sans les remplacer. La norme européenne ETSI EN 17927, publiée en 2023, derive directement de SESIP pour l'évaluation cybersécurité IoT a l'échelle européenne. Le futur schéma EUCC, place sous le Cybersecurity Act et le CRA, prévoit également l'usage de SESIP comme méthodologie reconnue pour les composants et plateformes.
- Quel est le lien entre SESIP et PSA Certified ?
- PSA Certified, programme opérationnel pilote par Arm et ses partenaires (Brightsight, Riscure, SGS, TrustCB, UL), aligne ses niveaux PSA niveau 2 et PSA niveau 3 sur des profils SESIP. PSA niveau 2 correspond pratiquement a SESIP niveau 3 (test en boite noire), PSA niveau 3 a SESIP niveau 4 ou 5 selon le périmètre. Un certificat PSA niveau 2 delivre depuis 2022 mentionne explicitement le profil SESIP applique, ce qui facilite la composition vers une évaluation produit final.
- Combien de temps est valide un certificat SESIP ?
- La durée de validité par défaut d'un certificat SESIP est fixée par le schéma sous lequel l'évaluation a ete conduite. La pratique courante est une validité de cinq ans, conditionnée a un programme de maintenance des vulnérabilités tenu par le fabricant. Une découverte de vulnérabilité critique sur le produit ou un composant réutilisé peut suspendre le certificat. Une évolution majeure de la cible (changement de chip, mise a jour de firmware modifiant la surface d'attaque) declenche une re-évaluation au moins partielle.
- SESIP convient-il a un microcontrôleur seul, sans système ?
- Oui. SESIP est explicitement conçu pour permettre l'évaluation a trois niveaux de granularité : composant (puce, eUICC, élément securise), plateforme (chip plus OS securise plus pile crypto), et produit (plateforme intégrée dans un dispositif IoT final). L'évaluation d'un microcontrôleur seul produit un certificat composant réutilisable par les intégrateurs en aval, avec un argument de composition documente. Cette modularité est l'apport principal de SESIP par rapport aux Criteres Communs traditionnels.
- Quels sont les pieges les plus fréquents d'une demarche SESIP ?
- Trois écueils reviennent. D'abord, une Security Target sous-cadree : le fabricant décrit insuffisamment l'environnement d'exploitation et les hypothèses, ce qui fragilise l'évaluation. Ensuite, la confusion entre niveaux SESIP et EAL Criteres Communs : SESIP niveau 4 n'équivaut pas a EAL 4, l'échelle est differente. Enfin, la composition mal justifiée : réutiliser un certificat de composant sans démontrer formellement que les hypothèses de ce certificat tiennent dans le contexte d'intégration conduit a un refus du laboratoire ou de l'organisme de certification.