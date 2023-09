Les modules IdO de Quectel obtiennent des notes de sécurité élevées attribuées par l'expert en cybersécurité Finite State ; le programme pionnier de transparence en matière de cybersécurité est lancé.





Quectel Wireless Solutions, fournisseur mondial de solutions IdO, a annoncé aujourd'hui que des tests exhaustifs menés par la société Finite State, un cabinet de conseil majeur en cybersécurité, montre que les produits de Quectel dépassent largement les normes de l'industrie et les meilleures pratiques dans de multiples mesures de sécurité.

Quectel a engagé Finite State, une société de sécurité tierce spécialisée dans la gestion des risques liés à la chaîne d'approvisionnement logicielle pour l'entreprise, pour tester rigoureusement les modules IdO de Quectel afin de démontrer son engagement envers la sécurité transparente et vérifiable des produits.

Le premier rapport d'avancement publié par Quectel conclut que le score de sécurité de ses modules, tel qu'il ressort du profil de risque de Finite State, était élevé lorsque les tests ont commencé plus tôt cette année, et il a vite augmenté au fur et à mesure que Quectel mettait en oeuvre les recommandations de Finite State. La note s'est améliorée pour l'ensemble des modules testés, passant en moyenne de 62 à 24, le score le plus élevé possible étant de 10. Le rapport souligne que c'est une amélioration notable de la posture de sécurité de Quectel, les scores initiaux et actuels dépassant largement la moyenne de l'industrie, qui est de 98.

« Quectel a adopté une approche globale de la sécurité et de la transparence, ce que l'on voit rarement chez d'autres organisations. Leur engagement à mettre les rapports SBOM et VEX à la disposition de leurs clients contribuera à renforcer la sécurité et la transparence de l'industrie de l'IdO », a déclaré Matt Wyckhouse, PDG de Finite State. « Ils ont renforcé leurs processus de test de sécurité existants en intégrant des tests encore plus rigoureux dans leur code principal et tiers, et ils ont réagi plus rapidement que d'autres de leur industrie aux conclusions du processus de développement, ce qui se traduit par des indicateurs de risque les plaçant dans le top 10 % de tous les produits connectés que nous avons analysés », a poursuivi Matt Wyckhouse.

Finite State a concentré ses tests de pénétration initiaux et son analyse sur les modules cellulaires Quectel les plus importants qui sont vendus aux États-Unis. Les plates-formes vérifiées par Finite State représentent environ 70 % de tous les modules IdO nord-américains expédiés au cours des 18 derniers mois.

« Quectel prévoit de continuer ces tests de pénétration tiers et cet examen relatif à la sécurité pour l'ensemble de ses modules les plus critiques, en en faisant un processus continu et cyclique. Nous encourageons également et aidons nos clients fabricants d'équipements d'origine (OEM) à effectuer leurs propres tests tiers », a déclaré Norbert Muhrer, président et CSO de Quectel. « Ces résultats guideront Quectel alors que nous continuons à améliorer notre mise en oeuvre de la cybersécurité sur nos produits. Nous encourageons nos concurrents à nous suivre dans cette démarche pour rendre l'industrie de l'IoT aussi sûre et fiable que nos clients s'y attendent ».

En plus des tests de pénétration de ses modules clés, Quectel a annoncé la publication des documents suivants pour ses modules IdO : Software Bill of Materials (SBOM) et Vulnerability Exploitability Exchange (VEX). En tant que premier de l'industrie parmi les fabricants de modules IdO, ces ressources seront mises à disposition via le site Web de Quectel. Les documents SBOM et VEX aideront les clients dans cette tâche cruciale en fournissant des données complètes lisibles par machine. Les documents SBOM détailleront les composants logiciels et les dépendances de chaque module IdO, ainsi que des informations sur les licences et la provenance. Les fichiers VEX fourniront des données actualisées sur les vulnérabilités identifiées et leur statut.

La mise à disposition des documents SBOM et VEX a un effet en cascade sur l'ensemble de l'écosystème de l'IdO. En tant que fournisseur de modules, Quectel est intégré à l'architecture de nombreux dispositifs IdO. Tous les produits IdO construits sur les plates-formes de Quectel bénéficieront de la transparence et l'engagement en matière de sécurité.

« Notre engagement à être à la fois sécurisé et transparent nous distingue de nos concurrents », a déclaré Muhrer. « En rendant ces informations accessibles, notre but est de donner à nos clients les moyens de prendre des décisions plus éclairées concernant l'évaluation des risques en matière de sécurité et la priorisation des correctifs, tout en fournissant une transparence totale sur notre posture de sécurité. Nous offrons une boîte à outils complète de mesures liées à la sécurité et des conseils à nos clients pour mettre en oeuvre des dispositifs sécurisés. Quectel collabore également avec des organismes de normalisation pour contribuer à l'élaboration et au respecter d'un ensemble rigoureux d'exigences en matière de sécurité, notamment l'obtention de plusieurs certifications de sécurité de l'industrie et du gouvernement », a ajouté M. Muhrer.

Par ailleurs, Quectel a réitéré que ses modules maintiennent les normes les plus élevées en matière de protection des données et de sécurité. « Les clients de Quectel possèdent et contrôlent toutes les données collectées par nos modules. En plus, Quectel n'a pas accès à ces données », a déclaré Peter Fowler, vice-président senior, Amérique du Nord, Quectel. « Quectel s'engage à fournir des modules IdO sécurisés, de haute qualité, et de classe mondiale ; la firme va aussi au-delà des pratiques habituelles de l'industrie en réalisant des audits de cybersécurité tiers indépendants ».

Quectel a engagé Finite State en mai 2023 pour auditer et effectuer des tests de pénétration sur la sécurité de ses modules. Ses travaux en cours comprennent des tests de sécurité rigoureux, une meilleure visibilité de la chaîne d'approvisionnement des logiciels et une gestion complète des risques liés aux logiciels.

