Définition et objectif

L'objectif principal du cadre UL 2900 est de fournir des critères complets et cohérents pour évaluer les mesures de cybersécurité mises en œuvre dans les produits et systèmes connectables par réseau. En offrant un ensemble de critères standardisés, le cadre aide les organisations à intégrer la sécurité dès le départ et garantit que les consommateurs et les entreprises peuvent avoir confiance dans les produits connectés qu'ils utilisent.

Organe directeur

L'organisme de normalisation responsable de la série UL 2900 est Underwriters Laboratories (UL), une entreprise mondiale de certification de sécurité.

Dernière mise à jour

La dernière édition a été publiée en juillet 2017.

Applicable à

Le cadre UL 2900 est conçu pour être applicable à tous les dispositifs connectables par réseau dans divers secteurs. Il existe des éditions spécifiques adaptées à certains secteurs, telles que :

• UL 2900-1 : Exigences générales applicables à tous les dispositifs connectables par réseau.
• UL 2900-2-1 : Exigences spécifiques pour les composants connectables par réseau des systèmes de santé et de bien-être.
• UL 2900-2-2 : Exigences spécifiques pour les systèmes de contrôle industriel.

Contrôles et exigences

La série UL 2900 couvre généralement des domaines tels que :

• Évaluation des faiblesses des logiciels : identification des vulnérabilités logicielles connues.
• Confidentialité des systèmes de contrôle et des données : protection de l'intégrité et de la confidentialité des données.
• Mises à jour des logiciels et micrologiciels : assurer la sécurité tout au long du cycle de vie du produit.
• Authentification et contrôle d'accès : restreindre l'accès non autorisé.
• Périmètre(s) de sécurité électronique : mise en place de zones et de conduits de sécurité.
• Documentation produit : fournir les informations nécessaires aux utilisateurs pour un déploiement sécurisé.

La norme comprend également des évaluations telles que des tests de pénétration, des évaluations des risques et une analyse des vulnérabilités potentielles en matière de sécurité.

Veuillez vous référer à la documentation UL 2900 officielle pour une liste détaillée des contrôles et exigences.

Type d'audit, fréquence et durée

L'évaluation et le test de la série UL 2900 impliquent à la fois l'évaluation de la documentation et les tests pratiques du produit réel afin de déterminer s'il répond aux critères répertoriés.

Une fois qu'un produit réussit la certification UL 2900, des évaluations de suivi peuvent avoir lieu pour garantir une conformité continue, en particulier s'il y a des changements significatifs au produit. La fréquence exacte peut être déterminée en fonction de l'accord entre UL et le fabricant du produit.

La durée de l'audit varie en fonction de la complexité du produit, de l'étendue de ses fonctionnalités connectables au réseau et des exigences spécifiques de l'édition UL 2900 appliquée. L'évaluation pourrait durer de quelques semaines à quelques mois.