Cybersécurité des systèmes embarqués pour les développeurs. Rappel des normes EN 18031 et Cyber Resilience Act
Cette formation vous présente les principales vulnérabilités matérielles et logicielles d’un système embarqué, et vous apprend à mettre en place des stratégies de défense efficaces. Au programme : introduction à la sécurisation cryptographique, mise en œuvre de l’approche Secure by Design pour les architectures ARM, et rappels essentiels sur les normes EN 18031 et le Cyber Resilience Act. Renforcez la sécurité de vos projets embarqués et assurez leur conformité réglementaire.
OBJECTIFS
Découvrir les vulnérabilités possibles d’un système embarqué
Découvrir les bonnes pratiques de sécurisation cryptographique
Découvrir l’approche secure by design ARM
Anticiper les risques d’attaques dès la conception et penser la sécurité du système dans son ensemble pour préparer sa défense
PUBLIC VISE
Développeurs intéressés par les aspects de sécurité des produits connectés : ingénieurs ou techniciens hardware / logiciel embarqué. Pour les architectes systèmes embarqués, les responsables en charge de cybersécurité qui ne développent plus, les TP sont accessibles et guidés par le formateur.
PREREQUIS
Une expérience en développement de systèmes embarqués sur MCU et/ou MPU est nécessaire ; Les TP de mise en œuvre sont en langage C
INTERVENANT
Expert en cybersécurité en conception de cartes et programmes embarqués.
Le programme CAP’TRONIC aide, chaque année, 400 entreprises à monter en compétences sur les technologies liées aux systèmes électroniques et logiciel embarqué.
PRIX
Non-adhérent : 2 500 € HT
Adhérent CAP’TRONIC : 1 900 € HT
LIEU
En présentiel à Labège ou à distance (places limitées)
Les accès à un outil informatique en ligne adapté seront fournis au stagiaire avant le démarrage de la formation. Aucun logiciel spécifique n’est à installer. Seule une connexion à Internet est requise
Remarque : Notre certification QUALIOPI vous garantit un process certifié sur nos actions de formation et permet un financement des formations CAP’TRONIC par votre Opérateur de Compétences (OPCO) hors CPF.
PROGRAMME
Jour 1 : Introduction à la cyber sécurité des systèmes embarqués
Module 1 : Etat des lieux de la cyber sécurité des systèmes embarqués
● Top 10 des menaces les plus courantes
● Pourquoi sécuriser son système embarqué
○ Protéger l’infrastructure réseau
○ Protéger les biens ou la sécurité physique du client final
○ Protéger la propriété intellectuelle
● Niveau de maturité des produits embarqués actuels en matière de sécurité
● Séc urité des systèmes à base de MCU vs MPU
● Verrous techniques et contraintes liées à la sécurisation des produits embarqués
Module 2 : Taxonomie des attaques contre les systèmes embarqués à base de MCU
L’analyse préliminaire d’un produit :
○ Recherche de vulnérabilités publiques
○ Techniques et outils de rétro-ingénierie matérielle
○ Techniques et outils de rétro-ingénierie logicielle
La découverte de vulnérabilités
○ Méthodes passives : écoute réseau, probing et side-channel
○ Méthodes actives : le fuzzing aux interfaces et ports de debug
Exploitation de vulnérabilités :
○ Attaques RF par SDR (spoofing GPS, répéteur RF, sécurité du GSM, etc.)
○ Attaques sur le réseau
○ Attaques logicielles du type Buffer/Int overflow.
○ Attaques side-channel avec et sans accès physique au produit
○ Attaques par glitches électriques
Cas pratique : Analyse de sécurité de la clé de chiffrement Wookey de l’ANSSI
Module 3 partie 1 : TP mise en place d’un mécanisme de FOTA et démarrage sécurisé
Présentation de MCUboot
○ Les modes de mises à jour
○ L’anti rollback
○ Le chiffrement du firmware
Configuration et déploiement de MCUboot avec Zephyr OS
Jour 2 : Préparer sa défense
Module 4 : Analyse de risque et cadre réglementaire
Cadre réglementaire (EN 18031, Cyber Resilience Act, certification CSPN, …)
Définir son problème de sécurité
○ biens, menaces, modèle d’attaquant, hypothèses
Analyser le risque de façon simple
Evaluer la gravité d’une attaque (selon la méthode ANSSI CSPN)
Cas pratique : Rédaction d’une ébauche de cible de sécurité pour tracking d’assets ou smart meter ou caméra connectée
Module 5 : Notions de cryptographie
Cryptographie symétrique authentifiée ou non
○ AES et ses modes de chiffrement
Cryptographie à clé publique et PKI
○ RSA et ECDSA
○ Négociation de clés cryptographiques
○ Introduction au concept de PKI
Algorithmes de hachage et de MAC
○ SHA, HMAC, CMAC
Diversification des clés cryptographiques et génération d’aléa
Module 3 partie 2 : TP mise en place d’un mécanisme de FOTA et démarrage sécurisé
Suite et fin du TP.
Module 6 partie 1 : TP mise en place d’une connexion TLS avec MbedTLS et Zephyr OS
Développement d’un serveur echo non sécurisé
Génération d’une infrastructure PKI avec Open SSL
Développement d’un serveur echo sécurisé avec TLS
Jour 3 : L’approche Secure by Design
Modules 7 : Développer de façon sécurisée
Les bonnes pratiques
Processus de développement
Etude de cas pratiques :
○ recherche de vulnérabilités,
○ durcissement de code.
Module 8 : Mécanismes de sécurité génériques
Cycle de vie pour la sécurité
Attestation
Démarrage sécurisé
Mise à jour sécurisée
Communications sécurisées
Partitionnement logique
Binding
Module 9 : Sécurité avancée avec ARM TrustZone
Zoom sur l’extension de sécurité TrustZone pour Cortex M23 et M33
Présentation générale du TF-M
Les services de sécurité offerts par le TF-M
Le problème du provisionning des clés à grande échelle
Module 6 partie 2 : TP mise en place d’une connexion TLS avec MbedTLS et Zephyr OS
Suite et fin du TP.
Tour de table
Le découpage de la formation est proposé à titre indicatif et pourra être adapté.
ORGANISATION
Moyens pédagogiques : Support de cours. Démonstrations - Travaux pratiques - Assistance pédagogique assurée par le formateur 1 mois après la formation..
Moyens permettant d’apprécier les résultats de l’action : Evaluation de l’action de formation par la remise d’un questionnaire de satisfaction à chaud à l’issue de la formation, puis d’un questionnaire à froid quelques semaines après la formation.
Moyen permettant de suivre l’exécution de l’action : Evaluation des connaissances via un questionnaire avant et après la formation - Feuilles de présence signées par chaque stagiaire et le formateur par demi-journée de formation.
Sanction de la formation : Attestation de présence.
RENSEIGNEMENTS ET INSCRIPTION
Florence CAGNARD, cagnard@captronic.fr - 06 70 73 23 43
Pour toute question y compris les conditions d’accès pour les publics en situation de handicap.
Cybersécurité des systèmes embarqués pour les développeurs. Rappel des normes EN 18031 et Cyber Resilience Act - du 9 au 11 décembre 2025
Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par JESSICA France à des fins de communication via emailing. Elles sont conservées jusqu’à votre demande de désinscription et sont destinées aux équipes de JESSICA France localisées en France. Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d’accès aux données vous concernant et les faire rectifier en contactant
Informations mises à jour le 03/07/2025