Les cyberattaques Web représentent aujourd’hui un risque majeur pour toutes les entreprises. Les sites Web, applications métiers et API sont devenus des cibles privilégiées pour les attaquants, exploitant des vulnérabilités Web souvent invisibles.

En 2025, le coût moyen d’un incident dépassait 466 000 euros pour une PME française, selon la Cour des comptes et l’ANSSI. La sécurité des applications Web est désormais un enjeu critique, avec des impacts financiers, opérationnels et réputationnels importants.

Dans ce contexte, le test d’intrusion Web (Pentest Web) s’impose comme une approche essentielle pour identifier ces failles avant qu’elles ne soient exploitées. Sans audit de sécurité, ces vulnérabilités restent généralement non détectées jusqu’à une attaque réelle.

Comprendre le test d’intrusion

Un test d’intrusion Web consiste à simuler une attaque réelle dans un cadre maîtrisé afin d’évaluer la sécurité d’une application.

L’objectif est d’identifier :

• Les vulnérabilités exploitables ;
• Les scénarios d’attaque possibles ;
• Les impacts sur les données et les systèmes.

Comprendre l’OWASP, un standard incontournable

L’OWASP « Open Web Application Security Project » est une organisation internationale référence dédiée à la sécurité des application Web. Elle publie notamment l’OWASP Top 10, un classement des vulnérabilités les plus critiques observées, aujourd’hui largement utilisé comme standard par les experts en cybersécurité.

Les vulnérabilités les plus fréquentes

Le top 10 de l’OWASP met en évidence les failles les plus couramment exploitées :

• Contrôle d’accès défaillant ;
• Défauts cryptographiques ;
• Injection (SQL, OS, LDAP, commandes…) ;
• Conception non sécurisée ;
• Mauvaise configuration de sécurité ;
• Composants obsolètes ou vulnérables ;
• Défauts d’identification et d’authentification ;
• Journalisation et surveillance insuffisantes ;
• Falsification de requêtes côté serveur (SSRF).

Ces vulnérabilités sont bien documentées, mais restent massivement exploitées, notamment lorsqu’elles ne sont pas identifiées dans le contexte réel de l’application.

Pourquoi l’OWASP ne suffit pas ?

L’OWASP constitue une base essentielle, mais ne couvre pas l’ensemble des risques, c’est pourquoi un test d’intrusion efficace permet d’aller plus loin dans la démarche :

• Analyser les logiques métiers ;
• Identifier des scénarios spécifiques ;
• Détecter des failles non standard.

Une exploitation accrue des PME et TPE

Contrairement aux idées reçues, les cyberattaques ne ciblent plus uniquement les grands groupes, mais attaques tout autant les TPE et PME. Les chiffres clés transmis par l’ANSSI démontre clairement que 58% des TPE et PME pensent être suffisamment protégées grâce à des mesures classiques, telles que les antivirus, les pares-feux, les politiques de mots de passe. Pourtant, ces dispositifs ne couvrent pas l’ensemble des vulnérabilités applicatives.

Plusieurs facteurs expliquent cette situation :

• Une surface d’attaque croissante (applications, API, services en ligne…) ;
• Des audits de sécurité moins réguliers ;
• Une maturité cyber limité impliquant une faible robustesse.

L’exploitation de vulnérabilités Web figure parmi les principaux vecteurs d’attaque, juste après l’hameçonnage.

Une application métier exposée sur Internet, un espace client ou sur une API mal configuré peut contenir :

• Un défaut d’authentification ;
• Une bibliothèque externe non mise à jour ;
• Un formulaire de connexion sans protection adéquate ;
• Une mauvaise gestion des autorisations.

Ces failles sont souvent invisibles… mais directement exploitables par un attaquant.

Comment LOOTUS SECURITY réalise un test d’intrusion Web ?

Chez LOOTUS SECURITY, un test d’intrusion Web va au-delà de la simple détection automatisée de vulnérabilités avec des outils. Il s’agit d’une évaluation réaliste du niveau de sécurité de l’application, basée sur des scénarios d’attaques concrets et maîtrisés. 

Notre approche permet d’identifier :

• Les vulnérabilités réellement exploitables ;
• Les chemins d’attaque possibles ;
• Les impacts sur les systèmes, les données sensibles et les usages métiers.

Notre méthodologie

Notre démarche repose sur une approche humaine experte et contextualisée permettant :

• Une analyse approfondie de l’application et de son architecture ;
• Une double expertise en développement Web et cybersécurité, permettant une compréhension fine des logiques applicatives ;
• Une priorisation des risques en lien direct avec les enjeux métiers.

Cette méthodologie permet non seulement d’évaluer la robustesse réelle du système, mais aussi de fournir des recommandations techniques directement exploitables par les équipes internes, tout en renforçant leur montée en compétence vers une plus grande autonomie en développement sécurisé.

Un investissement maîtrisé

Le cadre réglementaire européen tel que le Cyber Resilience Act « CRA », les directives NIS2, la certification ANSSI et la CNIL évolue rapidement et renforcent l’obligation de sécurisation et de démonstration par des exigences croissantes en matière de cybersécurité.

Elles imposent alors aux entreprises :

• Mettre en place des mesures de protection adaptées ;
• Évaluer régulièrement leurs systèmes ;
• Démontrer leur niveau de sécurité et les actions mises en place.

Dans ce contexte, les tests d’intrusion deviennent un outil clé de conformité et ne pas évaluer régulièrement sa sécurité, c’est s’exposer à des risques non seulement techniques, mais également juridiques.

Vous souhaitez évaluer la robustesse de vos applications Web ? Contactez nos experts en cybersécurité Web.

La norme EN 18031 s’impose aujourd’hui comme une référence incontournable en matière de cybersécurité des produits IoT. Son entrée en application s’inscrit dans un contexte de renforcement du cadre réglementaire européen. Pour les fabricants et industriels, la mise en conformité EN 18031 n’est plus une option mais une condition d’accès au marché.

Cet article a pour objectif d’expliquer ce qu’est la norme EN 18031, qui est concerné, pourquoi elle est désormais incontournable et comment aborder concrètement la mise en conformité, avec un éclairage sur l’approche portée par LOOTUS SECURITY.

Qu’est-ce que la norme EN 18031 et ses grands principes ?

L’EN 18031 est une norme européenne harmonisée développée pour répondre aux exigences en matière de cybersécurité répertoriées dans l’article 3.3 (d), (e) et (f) de la directive RED (Radio Equipment Directive). Elle vise alors à définir des exigences communes de cybersécurité applicables aux équipements radio connectés à Internet, afin de renforcer leur résilience face aux menaces numériques.

Son objectif principal

Son objectif est double et consiste à la fois de réduire les risques d’atteinte au réseau, aux données et aux utilisateurs, mais également d’imposer une approche de sécurité intégrée dès la conception des produits.

Dans l’écosystème réglementaire européen, l’EN 18031 joue un rôle structurant, elle constitue aujourd’hui un socle technique reconnu, aligné avec les exigences émergentes du Cyber Resilience Act (CRA).

Ses grands principes reposent notamment sur :

• La protection contre les accès non autorisés ;
• L’authentification et la gestion des identités ;
• La sécurisation des communications ;

La limitation de l’exposition aux vulnérabilités connues.

Les trois principales normes

La norme EN 18031 est accessible en 3 volets afin de catégoriser les exigences soumises selon l’équipement ciblé :

• EN 18031-1 : s’applique à l’article 3.3 (d) pour les dispositifs connectés à Internet ;
• EN 18031-2 : s’applique à l’article 3.3 (e) pour les dispositifs sans fil traitant des données personnelles, jouets et dispositifs portables ;
• EN 18031-3 : s’applique à l’article 3.3 (f) pour les appareils sans fil traitant de la monnaie virtuelle ou de la valeur monétaire.

Des familles d’exigences se distingues dans les 3 volets tout en s’adaptant aux obligations soumises selon l’équipement ciblé quand a d’autre s’applique uniquement dans le volet concerné.

Voici le résumé de ces grandes familles :

• [ACM] : Mécanisme de contrôle d’accès (Volets 1, 2 et 3)
• [AUM] : Mécanisme d’authentification (Volets 1, 2 et 3)
• [SUM] : Mécanisme de mise à jour sécurisé (Volets 1, 2 et 3)
• [SSM] : Mécanisme de stockage sécurisé (Volets 1, 2 et 3)
• [SCM] : Mécanisme de communication sécurisée (Volets 1, 2 et 3)
• [RLM] : Mécanisme de résilience (Volet 1)
• [NMM] : Mécanisme de surveillance du réseau (Volet 1)
• [TCM] : Mécanisme de contrôle du trafic (Volet 1)
• [DLM] : Mécanisme de suppression (Volet 2)
• [UNM] : Mécanisme de notification à l’utilisateur (Volet 2)
• [LGM] : Mécanisme de journalisation (Volets 2 et 3)
• [CCK] : Clés cryptographiques confidentielles (Volets 1, 2 et 3)
• [GEC] : Capacités générales de l’équipement (Volets 1, 2 et 3)
• [CRY] : Cryptographie (Volets 1, 2 et 3)

EN 18031 obligatoire, ce qui a changé depuis son entrée en application

Avec son intégration dans le cadre réglementaire européen, la norme EN 18031 est désormais une voie privilégiée de démonstration de conformité aux exigences de cybersécurité applicables aux équipements radio.

Concrètement, cela signifie que :

• La conformité conditionne l’accès au marché européen ;
• La responsabilité du fabricant est directement engagée ;
• L’absence de conformité expose à des risques réglementaires, commerciaux et réputationnels.

Depuis l’été 2025, les demandes de mise en conformité se multiplient, notamment en raison :

De la proximité des échéances liées au CRA.

De la montée en maturité des autorités de surveillance du marché ;

De la pression exercée par les donneurs d’ordre ;

À qui s’applique la norme EN 18031 ?

La norme EN 18031 concerne principalement :

• Les équipements radio connectés à Internet (Wi-Fi, Bluetooth, LTE…) ;
• Les produits IoT destinés à un usage professionnel ou industriel ;
• Les systèmes intégrant des fonctions de communication sans fil.

Elle impacte plusieurs acteurs :

• Les fabricants, en tant que responsables de la conformité ;
• Les intégrateurs, tenus à une diligence raisonnable sur les composants utilisés ;
• Indirectement, les partenaires de la chaîne d’approvisionnement.

Des cas concrets incluent par exemple des passerelles industrielles, des capteurs connectés, des équipements embarqués communicants ou des produits intégrant des modules radio tiers.

EN 18031 VS CRA, faut-il se conformer aux deux ?

La norme EN 18031 et le Cyber Resilience Act ne s’opposent pas, ils s’inscrivent dans une trajectoire commune.

L’EN 18031 est une norme harmonisée, offrant une présomption de conformité à certaines exigences réglementaires.

Tandis que le CRA est un règlement européen, juridiquement contraignant, couvrant l’ensemble du cycle de vie des produits comportant des éléments numériques.

Se conformer à l’EN 18031 aujourd’hui permet :

• De structurer une démarche de sécurité by design ;
• D’anticiper les exigences du CRA prévues à partir de 2026–2027 ;
• De limiter les efforts de mise à niveau futurs.

À long terme, la conformité produit en Europe repose sur une vision cohérente : normes techniques, réglementation et pratiques d’ingénierie doivent converger.

Comment se mettre en conformité avec la norme EN 18031 ?

La mise en conformité repose sur une démarche structurée et progressive en 5 étapes clés :

1. Évaluer la maturité cybersécurité des produits existants ;
2. Identifier les écarts par rapport aux exigences de la norme ;
3. Mettre en œuvre les mesures techniques nécessaires, au niveau matériel, logiciel et réseau ;
4. Constituer la documentation attendue, traçable et cohérente ;
5. Valider la robustesse par des tests objectifs, notamment de sécurité.

Cette approche permet d’ancrer la conformité dans la réalité technique du produit, et non dans une logique purement déclarative.

Pourquoi se faire accompagner pour la conformité EN 18031 ?

La norme EN 18031 soulève des enjeux techniques complexes, tels que l’interprétation fine des exigences, l’articulation entre matériel / Firmware et réseau, mais également les risques d’une conformité partielle ou uniquement documentaire.

Pour cela l’accompagnement d’un expert permet :

• De réduire les délais de mise en conformité ;
• De sécuriser l’accès au marché ;
• De renforcer la crédibilité réglementaire du produit.

Comment LOOTUS SECURITY accompagne la mise en conformité EN 18031 ?

LOOTUS SECURITY s’appuie sur une expertise reconnue en cybersécurité embarquée et IoT, couvrant aussi bien les architectures MCU que les systèmes Linux embarqué.

Son approche repose sur :

• La maîtrise des référentiels techniques et réglementaires ;
• Une évaluation approfondie des produits ;
• Un accompagnement structuré vers la conformité ;
• Une validation objective de la robustesse des mesures mises en place.

La conformité est abordée non comme une contrainte, mais comme un levier de confiance, de performance et de pérennité produit.

EN 18031, une obligation aujourd’hui, un avantage demain !

La conformité aux exigences de la directive RED en s’appuyant sur la norme EN 18031 n’est plus optionnelle pour les acteurs des équipements communiquant. Anticiper cette obligation permet de réduire les risques, de sécuriser les mises sur le marché et d’inscrire les produits dans une dynamique durable. Engager dès maintenant une démarche structurée est un choix stratégique pour transformer la contrainte réglementaire en avantage concurrentiel. C’est aussi une réponse à l’anticipation du CRA qui généralise la cybersécurité des IoT et plus généralement des systèmes embarqués.

Vous souhaitez évaluer la conformité de vos systèmes embarqués communiquant imposé par la Directive RED en lien avec la norme EN 18031 ? Contactez nos experts en cybersécurité embarquée.

L’Internet des Objets (IoT) transforme nos usages industriels et grand public, mais cette connectivité accrue élargit aussi la surface d’attaque. Trop souvent limitée au réseau ou au logiciel, la cybersécurité IoT doit pourtant être envisagée dans toute sa profondeur : du choix du composant électronique jusqu’à la supervision cloud.

Chez LOOTUS SECURITY, nous considérons la cybersécurité IoT comme une discipline d’ingénierie à part entière, fondée sur une conception maîtrisée, une évaluation continue et une recherche constante de robustesse technique.

Un produit IoT ne se résume pas à son logiciel embarqué ni à son protocole de communication.

Il s’agit d’un système complexe combinant trois couches indissociables, où chaque élément peut devenir un point d’entrée pour une personne malveillante :

• Le matériel : surface d’exposition physique du dispositif ;
• Le logiciel embarqué : logique fonctionnelle, communication, mises à jour ;
• Le réseau et le cloud : environnements distribués et services distants.

C’est pourquoi la sécurité IoT ne peut pas se concevoir de façon cloisonnée, elle nécessite une approche systémique.

Sécurité matérielle

Une architecture bien conçue dès le départ limite les surfaces d’attaque et conditionne toute la chaîne de confiance future.

Le choix du matériel

Le choix des composants a un impact réel sur la sécurité du produit. Certains produits proposent des zones sécurisées, des accélérateurs cryptographiques… Le produit se sécurise dès sa conception, autant dans le choix des composants que dans le choix des protocoles électroniques utilisés.

Les interfaces critiques

Les interfaces matérielles (JTAG, SWD, UART…) sont indispensables au développement, mais dangereuses si elles restent actives en production : extraction du Firmware, contournement de protections, injection de code. Des éléments matériels de confiance existent pour renforcer la sécurité et rendent les attaques physiques (glitch, side-channel, extraction) beaucoup plus difficiles.

Protéger la chaîne d’approvisionnement

La sécurité matérielle passe aussi par la chaîne d’approvisionnement. Un objet peut être compromis avant même d’être vendu, par exemple si un composant est contrefait, si le Firmware a été modifié, si le produit a été manipulé en usine, ou si des clés ont été injectées sans contrôle.

Pour limiter ces risques, il faut vérifier l’authenticité des composants, utiliser un processus d’initialisation sécurisé (secure provisioning), garder la maîtrise des clés en production, et contrôler les bootloaders ainsi que les Firmwares tiers.

Sécurité logicielle

Le logiciel embarqué est la mécanique interne du produit. Il gère les fonctions critiques, les communications, les usages métier et les mises à jour, ce qui en fait une zone sensible. Un développement rigoureux et l’assurance de l’intégrité du code sont des éléments essentiels pour renforcer la sécurité de l’IoT.

Développement sécurisé

Un développement sécurisé repose sur des règles de codage adaptées à l’embarqué, des revues de code, des analyses statiques/dynamiques, des tests de robustesse et une gestion stricte des dépendances. L’objectif est de réduire les vulnérabilités classiques (gestion mémoire, erreurs de validation d’entrées, défauts de logique) et d’éviter l’introduction de faiblesses dès l’implémentation.

Mises à jour et exécution sécurisée du Firmware

Chaque Firmware doit être signé et vérifié avant exécution pour empêcher l’installation de code modifié ou malveillant. Les mises à jour à distance (OTA) doivent être authentifiées, chiffrées (pour protéger la propriété intellectuelle), vérifiées en intégrité et soumises à un contrôle strict des droits. Sans cela, une mise à jour devient un vecteur d’attaque.

Interaction utilisateur

Les interfaces utilisateurs (IHM), notamment les interfaces Web, introduisent des contraintes de sécurités spécifiques. Ces interfaces sont critiques, car elles héritent des vulnérabilités propres au web (XSS, CSRF, injections, mauvaise gestion des sessions, etc.). Les accès doivent être protégés et authentifiés pour éviter l’exposition de données. Une faiblesse à ce niveau peut servir de point d’entrée pour attaquer des services liés et fragiliser ou compromettre tout l’écosystème IoT.

Sécurité réseau et cloud

Une fois déployé, un objet IoT n’est plus un produit isolé : il s’intègre à un système connecté, réparti entre le terrain et le cloud. La protection doit donc rester cohérente tout au long du parcours des données et des commandes, de l’équipement jusqu’aux services distants, sans rupture entre les couches.

Chiffrement systématique des échanges

Le chiffrement et la signature garantissent la confidentialité, l’intégrité et l’authenticité des données en transit.
Les couches sécuritaires de protocoles adaptés comme TLS protègent les communications contre l’interception, la modification ou l’injection de messages. Sans chiffrement robuste, toute architecture IoT devient vulnérable dès qu’elle communique.

Identités et certificats

Chaque appareil doit disposer d’une identité unique et prouvable. La gestion sécurisée des certificats (création, renouvellement, révocation) ainsi que le stockage des clés dans des zones protégées empêchent l’usurpation d’appareils et la connexion de matériels non autorisés.

Exposition de l’IoT dans son environnement

La segmentation réseau limite les mouvements latéraux en cas de compromission : séparation des réseaux, limitation des services exposés et isolation des fonctions critiques. Associée à une supervision active, elle permet de détecter rapidement les comportements anormaux et d’éviter la propagation d’une attaque.

Les nouvelles exigences européennes

Anticiper la conformité

L’Union européenne renforce progressivement la cybersécurité IoT. Les référentiels tels qu’IEC 62443, EN 1803, EN 303645 et le futur Cyber Resilience Act (CRA) imposent désormais une sécurité démontrable, depuis la conception jusqu’à la mise sur le marché.

Ces réglementations redéfinissent les obligations des fabricants :

• Intégrer la sécurité dès la conception (Security by Design) ;
• Garantir la traçabilité et la documentation des mesures de protection ;
• Prouver la gestion des vulnérabilités et la capacité de remédiation dans le temps.

La conformité, un levier de maturité

Au-delà de la conformité, cette évolution invite les industriels à renforcer leur maturité technique et organisationnelle. Une démarche qui passe par l’évaluation, la correction et la validation objectives des dispositifs avant toute certification.

Accompagner la maturité et la robustesse des produits IoT

Grâce à son expertise en cybersécurité embarquée (MCU et Linux), LOOTUS SECURITY adopte une approche intégrée pour comprendre, évaluer et renforcer la sécurité des systèmes connectés.

Notre vision s’appuie sur trois axes essentiels :

• Une analyse technique approfondie, du matériel au firmware ;
• Un accompagnement structuré vers la conformité, fondé sur la rigueur et la transparence ;
• Une évaluation d’écart aux normes en vigueur.

Un produit sûr est un produit compris, mesuré et amélioré dans la durée.

LOOTUS SECURITY, partenaire de confiance pour bâtir un IoT robuste, pérenne et conforme aux attentes du marché.

Vers une cybersécurité IoT de confiance et de continuité

La cybersécurité IoT est une culture d’ingénierie responsable où chaque décision (composant, protocole, architecture influencent la résilience du produit). Une sécurité cohérente et mesurable à chaque étape fait de la conformité non pas un objectif final, mais la conséquence naturelle d’un IoT bien conçu, bien évalué et bien maintenu.

Vous souhaitez évaluer la robustesse de vos dispositifs IoT ? Contactez nos experts en cybersécurité embarquée.

Retrouver notre vidéo de démonstration d’un Ransomware : https://www.youtube.com/watch?v=sjEYj-KSXa0

Vous trouverez des formations traitant des sujets variés de cybersécurité.🛡
Si toutefois, vous ne trouvez pas votre bonheur dans notre catalogue, sachez que les experts de LOOTUS SECURITY peuvent également concevoir un programme de formation spécifique à vos contraintes métiers.🔧