L’enquête internationale Blackberry QNX met l’accent sur les difficultés des professionnels du code embarqué à respecter les certifications de sécurité dans les délais impartis. Sur l’échantillon de 1000 développeurs dans le monde, une centaine sont français. La proportion de ceux qui veulent changer leur système d’exploitation (OS) est de 77 %, un nombre significatif qui alerte sur la capacité des OS spécialisés à répondre aux contraintes de sécurité. Pour rappel, un système embarqué intègre du logiciel et du matériel sur des puces destinées à de nombreux secteurs d’activité tels que l'automobile, l'aéronautique, les télécommunications, l'électroménager et la santé. Ces systèmes reposent de plus en plus sur des puces appelées Neural Processing Units (NPU) qui intègrent l’IA.
Eu égard à l’aspect critique de la plupart des applications embarquées, les entreprises sont tenues de respecter les normes de sécurité internationales, dont l’ISO/IEC 27001, l’IEC 62443 et le NIST SP 800-53 publié aux Etats-Unis.
Or, 63 % des entreprises françaises déclarent qu'il est « très » voire « extrêmement » difficile de les respecter avec leur système d'exploitation actuel.
Les deux principales préoccupations des répondants à l’étude concernent la sécurité (30 %) et le manque de performance (27 %) ce qui pousse les experts interrogés à envisager de changer de système d'exploitation.
Comme tous les logiciels, ces OS embarqués se divisent en logiciels propriétaires comme WxWorks, QNX, ThreaxX et logiciels open source comme FreeRTOS ou Linux embarqué.
Certains OS embarqués ne disposent pas des certifications de sécurité nécessaires
« Alors que nous entrons dans l'ère du « Software-Defined Everything », où les appareils et l'infrastructure dépendent de plus en plus des logiciels pour opérer, les nouvelles fonctionnalités, l'innovation, la sûreté fonctionnelle (FuSa) et la sécurité sontprimordiales », a déclaré John Wall, responsable de BlackBerry QNX.
Les lacunes en matière de certification de sécurité entraînent des retards coûteux. Par conséquent, l’utilisation d’un OS qui les intègre est une nécessité pour pallier efficacement les contraintes liées à la sécurité et à la réglementation. Le fait que plus d'un tiers (35 %) des professionnels français du code français admettent que leur système d'exploitation actuel ne dispose pas les certifications de sécurité nécessaires, en tout ou partie, est un indicateur qui situe le casse-tête de la conformité à la sécurité.
Des manques qui expliquent sans doute les problèmes de retard des projets et sont mentionnés par deux tiers des entreprises françaises interrogées. Plus précisément, elles citent la complexité, le temps exigé (en moyenne 154 heures) et les coûts nécessaires (environ 520.000 €) pour répondre à l'évolution des normes de sécurité.
Une moyenne de 5 semaines entre chaque correctif
Près des trois quart des entreprises indiquent que l'intervalle entre les mises à jour de sécurité varie considérablement, avec une moyenne de cinq semaines entre chaque correctif. Un délai important à prendre en compte.Les problèmes liés aux systèmes d'exploitation impactent significativement les délais des projets. Plus préoccupant, près d’une entreprise sur trois déclare avoir déjà manqué des échéances avec un retard estimé moyen d’un 1 mois selon les développeurs
et ingénieurs à l’international.
