3 Questions à Jérémy Rosen, Chief Technical Officer chez Smile
Le 25/07/2025
Peux-tu te présenter et nous présenter ton entreprise ?
Bonjour, je m’appelle Jérémy Rosen et je suis responsable de l’expertise Embedded & IoT de Smile.
Smile est un acteur majeur du développement logiciel embarqué depuis le début des années 2000.
Nous accompagnons nos clients dans leurs développements spécifiques, et dans l’intégration de solutions open source dans leurs produits. Nous offrons des services de conseil en architecture, en gestion de projet et une expertise pointue face à des problématiques techniques complexes.
Quels sont les enjeux client du moment ?
Le CRA, le CRA et le CRA (Cyber Resilience Act). L’arrivée de cette nouvelle réglementation a provoqué une prise de conscience dans le monde de l’embarqué. Nos produits ne sont plus des objets isolés, ils sont connectés. Nous ne pouvons plus rester passif face à l’environnement hostile qu’est le réseau.
Toutes les bonnes pratiques que le monde de l’embarqué a mis au second plan en matière de cybersécurité deviennent des obligations. Nous devons suivre les vulnérabilités, nous devons les corriger et nous devons remonter nos corrections vers nos fournisseurs ou projets open source dont nous dépendons juste pour en nommer quelques-unes.
Pour nos clients, le défi est énorme. La culture, les compétences, l’organisation des projets et même les roadmaps commerciales doivent être repensées pour prendre en compte ces aspects.
Quels sont les prochains défis ?
Pour les industriels, le gros défi est la quantité de sujets qu’il faut traiter pour se mettre en conformité. Si je devais citer les essentiels :
- Se doter d’une architecture cyber et procéder à une analyse de risque. Il faut commencer par savoir ce que l’on souhaite faire, nos enjeux et nos dépendances. Un inventaire de nos composants externes (en particulier open source) et de leurs politiques de cybersécurité est également indispensable.
- Fournir un système globalement robuste. Je parle ici de mesures techniques : un boot sécurisé, une politique de droit d’accès, une gestion des certificats, un système livré avec des composants à jour.
- Avoir une politique de réaction aux vulnérabilités. Un point de contact pour rapporter des vulnérabilités, des mécanismes de validation rapides et efficaces, un système de déploiement de mise à jour fonctionnel et une politique de remontée des corrections upstream. Tout ceci est imposé par le CRA.
- Organiser le suivi des vulnérabilités. Il est désormais obligatoire de suivre les vulnérabilités de nos dépendances logicielles et de déployer rapidement tout correctif nécessaire sur nos produits.
Ces défis dépassent largement l’aspect technique, incluant des enjeux organisationnels et réglementaires que les projets n’ont généralement pas à gérer.
Au vu de la taille du défi, tous les accélérateurs sont bons à prendre. En haut de la liste, les logiciels libres sont le meilleur accélérateur que nous ayons à disposition. Non seulement ceux-ci peuvent nous fournir des outils clés en main pour certains problèmes (la génération de SBOM avec Yocto, le suivi des vulnérabilités avec dependency track…) mais ils sont considérés comme la référence en termes de gestion de vulnérabilités.
Que ce soit en clarté, en réactivité ou en qualité du suivi, les projets open source sont souvent très en avance sur les logiciels propriétaires.
Bien sûr, ce ne sont pas des solutions complètes, clés en main pour la gestion du CRA, mais ce sont les meilleurs éléments que nous ayons et s’en passer aurait un impact considérable en terme de time-to-market.
L’open source n’est pas une nouveauté dans l’embarqué et le CRA n’est pas la première raison d’introduire l’open source dans l’entreprise. Face à ce nouveau défi, le monde de l’open source fait figure de favori, car la gestion de la cybersécurité est un processus connu dans ce monde, validé, et majoritairement reconnu comme un modèle pour les bonnes pratiques à suivre.
N’hésitez pas à venir échanger avec nous au stand E227 !
