Avec une préoccupation croissante concernant la confidentialité et la sécurité des données aujourd’hui, les fabricants de l’Internet des objets (IoT) doivent améliorer leur jeu s’ils veulent maintenir la confiance des consommateurs. C’est l’objectif commun de la dernière norme de cybersécurité de l’Institut européen des normes de télécommunications (ETSI).
Connue sous le nom d’ETSI EN 303 645, la norme pour les appareils grand public vise à garantir la sécurité des données et à obtenir une conformité généralisée des fabricants. Alors, approfondissons cette norme à mesure que de plus en plus d’appareils entrent dans la maison et le lieu de travail.
La norme ETSI et ses protections
Il compte un long nom mais annonce une ère importante de la protection des appareils. ETSI EN 303 645 est une norme et une méthode par lesquelles une autorité de certification peut évaluer la sécurité des appareils IoT. Développé comme une norme applicable au niveau international, l’ETSI offre aux fabricants une base de sécurité plutôt qu’un ensemble complet de directives précises. La norme peut également jeter les bases de diverses futures certifications de cybersécurité IoT dans différentes régions du monde.
Par exemple, regardez ce qui se passe dans l’Union européenne. En septembre dernier, la Commission européenne a présenté une proposition de loi sur la cyber-résilience, destinée à protéger les consommateurs et les entreprises contre les produits dotés de fonctions de sécurité inadéquates. Si elle est adoptée, la législation – une première mondiale sur les appareils connectés – imposera des exigences de cybersécurité obligatoires pour les produits contenant des éléments numériques tout au long de leur cycle de vie.
L’interdiction des mots de passe par défaut et faibles, la prise en charge garantie des mises à jour logicielles et les tests obligatoires des vulnérabilités de sécurité ne sont que quelques-unes des propositions. Fait intéressant, ces mêmes règles sont incluses dans la norme ETSI.
L’IoT a besoin d’une norme de cybersécurité
Étonnamment, une seule maison remplie d’appareils intelligents pourrait subir jusqu’à 12 000 cyberattaques en une seule semaine. Alors que la plupart de ces cyberattaques échoueront, leur nombre signifie que certaines passeront inévitablement. La norme ETSI s’efforce d’empêcher ces attaques avec des mesures de sécurité de base, dont beaucoup devraient déjà relever du bon sens, mais qui ne sont malheureusement pas toujours en place aujourd’hui.
Par exemple, l’une des exigences de base de la norme ETSI est l’absence de mots de passe universels par défaut. En d’autres termes, votre tracker de fitness ne devrait pas avoir le même mot de passe par défaut que tous les autres trackers de fitness de cette marque sur le marché. Votre caméra de sécurité intelligente ne devrait pas avoir de mot de passe par défaut que quiconque possède une caméra similaire pourrait exploiter. Il semble que ce serait du bon sens pour les fabricants d’IoT, mais il y a eu de nombreuses violations qui se sont produites simplement parce que les individus ne savaient pas changer les mots de passe par défaut sur leurs appareils.
Une autre exigence de base de l’ETSI est de permettre aux individus de supprimer leurs propres données. En d’autres termes, l’utilisateur contrôle les données qu’une entreprise stocke à son sujet. Encore une fois, il s’agit de choses assez courantes dans le monde de la confidentialité, en particulier à la lumière de réglementations telles que le règlement général européen sur la protection des données (RGPD) et le Consumer Privacy Act (CCPA) de Californie. Cependant, ce n’est pas encore une exigence universelle pour les appareils IoT. Compte tenu de la quantité de données liées à la santé et à la forme physique que bon nombre de ces appareils collectent, la confidentialité des données des consommateurs doit être davantage une priorité.
Plusieurs autres règles de l’ETSI concernent le logiciel installé sur ces appareils et la manière dont le fournisseur gère la sécurité du logiciel. Par exemple, il doit y avoir un système de signalement des vulnérabilités. Le fournisseur doit maintenir le logiciel à jour et garantir l’intégrité du logiciel. Nous nous attendrions naturellement à ce type de mesures de sécurité pour presque tous les logiciels que nous utilisons, de sorte que la norme n’est fondamentalement qu’un minimum pour la protection des données dans l’IoT.
Il est important de noter que la norme ETSI couvre à peu près tout ce qui pourrait être considéré comme un appareil intelligent, y compris les appareils portables, les téléviseurs et appareils photo intelligents, les assistants domestiques intelligents, les appareils intelligents, etc. La norme s’applique également aux passerelles, hubs et stations de base connectés. En d’autres termes, il couvre le point d’accès centralisé pour tous les différents appareils.
Pourquoi les créateurs d’appareils devraient mettre en œuvre la norme aujourd’hui
Quelle est l’importance de la norme de sécurité ? De nombreuses entreprises perdent des clients aujourd’hui en raison d’un manque de confiance des consommateurs. Il y a tellement d’histoires de grandes entreprises comme Google et Amazon qui ne protègent pas adéquatement les données des utilisateurs, et l’IoT en particulier a été dans le collimateur à plusieurs reprises en raison de problèmes de confidentialité. Un fabricant d’IdO qui ne veut pas perdre des affaires, faire face à des amendes et des poursuites judiciaires et nuire à la réputation de l’entreprise devrait envisager de mettre en œuvre la norme ETSI comme une évidence.
Après tout, de nos jours, une maison donnée peut avoir jusqu’à 16 appareils connectés, chacun étant un point d’entrée dans le réseau domestique. Une entreprise peut avoir un ordinateur portable par employé, mais deux, trois ou plus d’autres appareils intelligents par employé. Et encore une fois, chaque appareil intelligent est un point d’entrée pour les pirates malveillants. Sans une norme de cybersécurité complète comme ETSI EN 303 645, les personnes qui possèdent des appareils IoT non protégés doivent s’inquiéter du vol d’identité, des attaques de rançongiciels, de la perte de données et bien plus encore.
Comment tester et certifier sur la base de l’ETSI
La certification est assez basique et se déroule en cinq étapes :
-
Les fabricants doivent comprendre les 33 exigences et les 35 recommandations de la norme ETSI et concevoir les appareils en conséquence.
-
Les fabricants doivent également acheter une plate-forme IoT qui a été construite avec la norme ETSI à l’esprit, car la norme influencera fondamentalement la façon dont les appareils sont produits et comment ils fonctionnent au sein de la plate-forme.
-
Ensuite, tout fabricant d’IoT essayant de se conformer à la norme ETSI doit remplir des documents qui fournissent des informations pour l’évaluation de l’appareil. Le premier document est la déclaration de conformité de l’implémentation, qui indique les exigences et les recommandations auxquelles l’appareil IoT répond ou non. La seconde est l’Implémentation eXtra Information for Testing, qui fournit des détails de conception pour les tests.
-
Un fournisseur de tests évaluera et testera ensuite le produit sur la base des deux documents et fournira un rapport.
-
Le fournisseur de test fournira un sceau ou une autre indication que le produit est conforme à la norme ETSI EN 303 645.
Avec de nouvelles réglementations à l’horizon, les fabricants d’appareils et les développeurs devraient considérer qu’il est préférable de se mettre au courant de cette norme. Une meilleure cybersécurité n’est pas seulement importante pour la protection des consommateurs, mais aussi pour la réputation de la marque. De plus, cette norme peut fournir une base pour des certifications et des mesures de sécurité des appareils plus strictes à l’avenir. Préparez aujourd’hui pour demain.