Services de test EN 18031

La date de mise en œuvre obligatoire des exigences de cybersécurité de la directive européenne sur les équipements radio ( RED ) en vertu de la norme EN 18031 est le 1er août 2025. Bien qu'elle n'ait pas encore été officiellement répertoriée comme norme harmonisée au Journal officiel de l'UE (JO), il est conseillé aux fabricants de se préparer à l'avance à la conformité.

Vous trouverez ci-dessous un aperçu complet du contenu des tests de la série de normes en 18031, conformément aux exigences de cybersécurité de la directive européenne sur les équipements radio (RED) :

Contexte et portée de la norme

La série de normes EN 18031 a été élaborée par l'UE pour mettre en œuvre les exigences de cybersécurité de l'article 3(3)(d), (e) et (f) de la directive RED (2014/53/UE), spécifiquement axées sur la sécurisation des équipements radio en réseau. Cette norme est divisée en trois parties, chacune traitant de la protection des actifs dans différents domaines :

- EN 18031-1 : Correspondant à l'article 3(3)(d), axé sur les actifs de cybersécurité (par exemple, infrastructure réseau, protocoles de communication).

- EN 18031-2 : Correspondant à l'article 3(3)(e), axé sur les actifs de confidentialité (par exemple, les informations d'identification personnelle, les données de santé).

- EN 18031-3 : Correspondant à l'article 3(3)(f), dédié à la protection des actifs financiers (par exemple, les dispositifs prenant en charge les transactions en cryptomonnaie ou le transfert de fonds).

Contenu des tests de base

1. Mécanismes généraux de sécurité (applicables à la norme EN 18031-1/2/3) :

 - Mécanisme de contrôle d'accès (ACM) : Vérification de la capacité de l'appareil à gérer les autorisations des utilisateurs, empêchant les opérations non autorisées.

 - Mécanisme d'authentification (AUM) : tester la fiabilité et les capacités anti-b REACH de l'authentification à facteur ti m UL (par exemple, biométrie, mots de passe dyna MIC ).

 - Communication sécurisée (SCM) : vérification des protocoles de chiffrement pour la transmission de données (par exemple, TLS 1.3) et de la capacité à se défendre contre les attaques de type « man-in-the-middle ».

 - Mécanisme de stockage sécurisé (SSM) : évaluation des solutions de stockage de chiffrement pour les données sensibles (par exemple, clés, enregistrements de transactions), garantissant la conformité avec des normes telles que AES-256.

 - Mécanisme de mises à jour sécurisées (SUM) : vérification de l'intégrité des mises à jour du MICrologiciel/logiciel et des mécanismes anti-falsification (par exemple, vérification de la signature numérique).

2. Objectif des tests détaillés :

 - EN 18031-3 (Protection des actifs financiers) :

 - Fonctions anti-fraude : tester la capacité de l'appareil à identifier et bloquer les transactions anormales (par exemple, les attaques de phishing, les paiements en double).

 - Gestion des clés : garantir que les clés de chiffrement préinstallées ou générées ont une longueur ≥ 112 bits et vérifier la sécurité du cycle de vie des clés (génération, stockage, destruction).

 - Mécanisme de journalisation (LGM) : Assurer l'intégrité, l'anti-falsification et la traçabilité des journaux de transactions.

 - EN 18031-2 (Protection de la vie privée) :

 - Anonymisation des données : Vérification des processus d'anonymisation des informations personnelles relatives à la confidentialité (par exemple, géolocalisation, enregistrements de paiement).

 - Audit de conformité : Vérification du respect des réglementations en matière de confidentialité telles que le RGPD, garantissant les principes de minimisation des données.

 - EN 18031-1 (Cybersécurité) :

 - Protection contre les vULnérabilités : évaluation de la résistance aux attaques de l'appareil par le biais de tests de pénétration (par exemple, injection SQL, simulation d'attaque DDoS).

 - Segmentation du réseau : vérification des mécanismes de segmentation et d'isolation du réseau de l'appareil dans des conditions de trafic anormales.

Processus de test et exigences

1. Préparation du document :

 - Soumettre un tableau d’identification des actifs qui classe les actifs de sécurité, de réseau, de confidentialité et financiers.

 - Fournir la documentation technique (spécifications de conception, matrice d'interface de communication, politiques de sécurité).

2. Exigences du prototype :

 - Fournir 4 à 6 prototypes (dont 2 à 3 prototypes de débogage) avec des interfaces de débogage ouvertes (par exemple, accès root) pour prendre en charge des tests approfondis.

3. Calendrier des tests :

 - Soumission de la documentation : 4 à 12 semaines.

 - Tests de fonctionnalité : 8 à 12 semaines (y compris l'évaluation du concept, la vérification fonctionnelle et les tests fuzz).

Recommandations de conformité

- Planifiez à l’avance : en raison de la longueur du processus de test, il est recommandé de lancer le processus de certification au moins 6 mois avant la date limite de mise en œuvre obligatoire.

- Collaborer avec des laboratoires certifiés : Choisissez un laboratoire tiers qualifié selon la directive RED pour effectuer des pré-tests afin d'optimiser les défauts de conception.

- Maintenance continue : mettez régulièrement à jour les correctifs de sécurité et conservez des enregistrements des mises à jour pour garantir la conformité tout au long du cycle de vie de l'appareil.