Arrow et NXP préparent les industriels au Cyber Resilience Act
Grâce à une approche intégrée combinant analyse de risques, conception sécurisée et approvisionnement protégé, Arrow et NXP aident les fabricants à se conformer aux exigences du Cyber Resilience Act européen dès la phase de conception.
Spécial Embedded World 2026 – Arrow Electronics a scellé une collaboration avec NXP Semiconductors afin d’aider les fabricants d’appareils connectés à anticiper les exigences du Cyber Resilience Act (CRA) de l’Union européenne. Cette réglementation impose des exigences strictes de cybersécurité pour tous les produits comportant des éléments numériques vendus dans l’UE, avec une application complète prévue à partir du 11 décembre 2027 et des sanctions importantes en cas de non-conformité.
Pour répondre à ces nouvelles obligations, Arrow s’appuie sur les capacités d’ingénierie d’eInfochips, filiale du groupe de distribution, combinées aux technologies de sécurité matérielle développées par NXP. L’objectif est de proposer aux industriels un processus complet de cybersécurité « secure-by-design », couvrant l’ensemble du cycle de vie des produits, depuis l’analyse initiale des risques jusqu’à leur déploiement et leur gestion opérationnelle.
Philipp Mai, vice-président de l’ingénierie EMEA chez Arrow – © Arrow Electronics
La démarche débute par une évaluation des risques menée avec le client final. Celle-ci inclut la modélisation des menaces et la définition d’exigences de cybersécurité conformément à la norme IEC 62443-4-1, largement utilisée dans l’industrie. Cette étape permet d’établir un plan de cybersécurité documenté qui servira de cadre pour le développement du produit.
Ensuite, eInfochips prend en charge les différentes phases de conception technique – architecture matérielle, développement du firmware et des applications cloud ou mobiles – tout en intégrant des pratiques de cybersécurité avancées telles que le codage sécurisé, les analyses SAST et DAST ou encore les tests de pénétration. Cette approche vise à garantir la conformité non seulement avec le Cyber Resilience Act, mais également avec d’autres référentiels comme RED 3.3.
Les technologies matérielles de sécurité de NXP jouent un rôle central dans cette architecture. Des solutions telles que EdgeLock Secure Enclave et EdgeLock Secure Elements fournissent une racine de confiance matérielle permettant de protéger les identifiants des appareils, d’assurer l’authentification, de sécuriser les données sensibles et de garantir l’intégrité des mises à jour logicielles.
Une fois la phase de développement achevée, Arrow prend en charge l’approvisionnement sécurisé via son centre de distribution de Venlo (Pays-Bas), où les dispositifs sont configurés et authentifiés afin d’établir leur identité numérique. Cette étape est complétée par l’utilisation du service cloud EdgeLock 2GO de NXP, qui permet l’injection et la gestion sécurisées de clés, certificats et identifiants tout au long du cycle de vie des produits.
« Les cadres réglementaires tels que le Cyber Resilience Act transforment la manière dont les produits connectés sont développés et maintenus. Notre collaboration avec NXP et eInfochips offre aux fabricants une approche structurée de la cybersécurité couvrant tout le cycle de vie du produit et accélérant leur mise en conformité avec le CRA », argumente Philipp Mai (photo), vice-président de l’ingénierie EMEA chez Arrow.
De son côté, Alasdair Ross, vice-président Secure Edge Identification chez NXP, souligne que l’approche « secure-by-design » adoptée de longue date par l’entreprise « s’inscrit naturellement dans les nouvelles exigences européennes désormais formalisées par le Cyber Resilience Act » et permet d’« accompagner les industriels vers des produits connectés plus sûrs et plus résilients ».
Cette stratégie commune est présentée lors du salon Embedded World 2026 qui se déroule actuellement à Nuremberg.
