MENU

Tout ce qu’il faut savoir sur les nouvelles réglementations IoT

Tout ce qu’il faut savoir sur les nouvelles réglementations IoT

Applications |
Par Dr. Shahram Mossayebi


La sécurité de l’internet des objets (IdO) a fait l’objet d’un vaste débat et d’un engagement mondial. Divers organismes de normalisation, dont le NIST, l’ETSI et l’ISO, ont formulé des lignes directrices visant à renforcer la sécurité des dispositifs interconnectés, dont certaines ont été transformées en mesures législatives. Les gouvernements sont de plus en plus préoccupés par la sécurité de l’IdO en raison de son utilisation généralisée dans les infrastructures nationales essentielles.

Les nouvelles initiatives en matière de cybersécurité lancées par les gouvernements peuvent poser des problèmes aux organisations concernées. Ces initiatives s’appuient souvent sur la réglementation, les rapports, les procédures bureaucratiques et d’autres éléments qui contribuent aux exigences des opérations informatiques. Naturellement, elles impliquent une période d’adoption axée sur l’effort que les organisations doivent planifier et traverser. Mais la prolifération rapide des appareils IoT a signifié qu’une plus grande adoption de la sécurité de l’IoT est dans la ligne de mire des professionnels de la cybersécurité depuis un certain temps.

La loi PSTI, la loi sur la résilience cybernétique et la marque de confiance cybernétique des États-Unis sont les trois réglementations les plus importantes en matière d’IdO qui seront adoptées cette année, en particulier pour les entreprises opérant au Royaume-Uni, en Europe et aux États-Unis.

Naviguer dans les cadres réglementaires au Royaume-Uni

La loi britannique sur la sécurité des produits et l’infrastructure des télécommunications (PSTI) entrera en vigueur le 29 avril 2024. Cette loi s’applique à tous les produits IoT grand public, y compris les appareils tels que les systèmes d’alarme domestiques connectés, les assistants domestiques intelligents, les smartphones, les caméras connectées et les produits blancs. Cela signifie que les entreprises qui font partie de la chaîne d’approvisionnement de ces produits doivent se conformer à la législation à cette date.

Les parties prenantes concernées par cette législation sont les fabricants, les importateurs et les distributeurs (c’est-à-dire les détaillants qui vendent ces appareils) d’appareils IoT grand public. Les exigences ci-dessous s’adressent aux fabricants, mais les détaillants de ces dispositifs ont le devoir de s’assurer que les produits qu’ils vendent sont conformes à cette législation. Une déclaration de conformité peut être un moyen pour les distributeurs de confirmer que les dispositifs sont conformes à la loi. Les entreprises ne pourront pas vendre de produits sans ce document et le non-respect de cette obligation pourrait entraîner une amende pouvant aller jusqu’à 10 millions de livres sterling ou 4 % du chiffre d’affaires mondial d’un fabricant, avec des pénalités journalières supplémentaires en cas de non-respect continu.

Les trois principaux éléments de sécurité de la législation sont les suivants :

  • Mots de passe: les appareils IoT grand public ne seront pas autorisés à avoir des mots de passe universels par défaut afin de prévenir les piratages de masse par des cybercriminels.
  • Informations fournies par le fabricant sur la manière de signaler les problèmes de sécurité : il doit exister une politique de divulgation dans laquelle les fabricants fournissent des informations sur la manière de signaler les problèmes de sécurité concernant leurs produits, ainsi qu’un calendrier de résolution.
  • Déclaration des mises à jour logicielles pendant la durée de vie du dispositif : des mises à jour logicielles sont créées et diffusées pour maintenir la sécurité du dispositif pendant toute sa durée de vie déclarée, en anglais et dans une langue accessible.

 

Naviguer dans les cadres réglementaires en Europe

La loi européenne sur la cyber-résilience (CRA) va plus loin que la loi PSTI, en renforçant la sécurité des logiciels et des appareils connectés utilisés par les consommateurs et les entreprises. Les autorités de surveillance du marché de chaque État membre de l’UE seront chargées d’infliger des amendes aux entreprises non conformes, jusqu’à une limite fixée dans la loi, et d’interdire la mise sur le marché des dispositifs non conformes.

En cas de violation d’un système IdO, il est peu probable que l’organisation concernée soit la seule touchée, les répercussions se faisant sentir tout au long de la chaîne d’approvisionnement. Si les fabricants seront probablement les entités les plus responsables de la majorité de ces exigences, la législation adopte une approche holistique de la chaîne d’approvisionnement, ce qui signifie qu’elle s’applique également aux distributeurs et aux importateurs.

L’Agence vise deux éléments clés : le premier consiste à garantir un niveau élevé de sécurité tout au long du cycle de vie du matériel et des logiciels en appliquant une approche « sécurisée dès la conception » avec la fourniture cohérente et complète de mises à jour de sécurité ainsi que l’obligation de signaler les incidents ayant une incidence sur la sécurité des dispositifs connectés dans les vingt-quatre heures. Deuxièmement, elle donne aux consommateurs un rôle actif dans la sélection des produits en fonction de leur niveau de cybersécurité en exigeant des fabricants qu’ils soient transparents sur les dispositifs de sécurité mis en place.

La législation a été acceptée par les décideurs politiques à la fin de l’année dernière, marquant la fin de désaccords et de négociations de longue date. Le texte devrait être formellement adopté par le Parlement et le Conseil européen dans le courant de l’année. Une fois la loi promulguée, les fabricants, importateurs et distributeurs de matériel et de logiciels disposeront de 36 mois pour s’adapter aux nouvelles exigences, à l’exception d’un délai de grâce plus limité de 21 mois en ce qui concerne l’obligation des fabricants de signaler les incidents et les vulnérabilités.

Naviguer dans les cadres réglementaires de l’IdO aux États-Unis

Pour répondre aux préoccupations liées à la sécurité de l’IdO, le gouvernement américain a récemment dévoilé la très attendue « Cyber Trust Mark ». Comme le mentionne le décret du président Biden, cette initiative introduit un programme d’étiquetage complet qui permet aux consommateurs de prendre des décisions éclairées concernant la sécurité de leurs appareils IdO. À l’instar des étiquettes nutritionnelles que l’on trouve sur les aliments, la marque américaine Cyber Trust Mark vise à renforcer la confiance des consommateurs dans les produits IdO en offrant des informations de sécurité claires et normalisées.

Plus précisément, les consommateurs pourront se faire une idée des éléments suivants de leurs produits IdO :

  • Engagement du fabricant en matière de sécurité: Aperçu des antécédents du fabricant en matière de cybersécurité, y compris ses performances historiques en matière de traitement des incidents de sécurité.
  • Sécurité des appareils: Évaluation des mesures de sécurité de l’appareil, couvrant les protocoles de cryptage, les processus de démarrage sécurisés et la mise à jour cohérente des microprogrammes.
  • Contrôles de la vie privée: Examen des contrôles de confidentialité et des pratiques de gestion des données, fournissant des détails sur la collecte des données, les méthodes d’utilisation et les mécanismes de contrôle et de partage des données.
  • Identification des vulnérabilités et correctifs: évaluation de la stratégie du fabricant en matière d’identification et de résolution des vulnérabilités, ainsi que de sa capacité à publier en temps utile des correctifs de sécurité efficaces.

 

Sécuriser l’avenir de l’IdO

Alors que les cadres réglementaires continuent d’évoluer des deux côtés de l’Atlantique, toutes les entreprises impliquées dans la production et la distribution de dispositifs IdO qui opèrent sur ces marchés, doivent rester vigilantes et se conformer à une réglementation nettement plus stricte. À partir de cette année, investir dans un fournisseur de sécurité IoT capable de garantir la conformité sera le moyen le plus efficace de continuer à accéder aux marchés européen et américain, sous peine d’une lourde pénalité financière.

Les fabricants de semiconducteurs et de puces ne porteront plus le poids de la sécurité de l’IdO, car l’engagement commun en faveur du renforcement de la cybersécurité et de l’autonomisation des consommateurs indique une trajectoire positive vers un écosystème de l’IdO plus sûr et plus résilient. Le respect de ces réglementations ne protège pas seulement les entreprises contre les amendes, mais favorise également une culture de la responsabilité dans le monde en expansion rapide des dispositifs interconnectés.

L’auteur, Shahram Mossayebi, est le fondateur et PDG de Crypto Quantique – un fournisseur de matériel et de logiciels à preuve quantique pour l’ensemble de la chaîne d’approvisionnement de l’IdO.

www.cryptoquantique.com

Si vous avez apprécié cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à :    ECI sur Google News
Partager:
Articles liés
La face obscure des onduleurs de panneaux solaires
La face obscure des onduleurs de panneaux solaires
Le crépuscule de Northvolt – désastre économique à $15 milliards
Le crépuscule de Northvolt – désastre économique à $15 milliards
De l’IA au satellite : Mobile World Congress 2025
De l’IA au satellite : Mobile World Congress 2025
L’Europe reste à la traîne en matière de brevets quantiques
L’Europe reste à la traîne en matière de brevets quantiques
Infineon fête ses 25 ans et vise $30 milliards en 2030
Infineon fête ses 25 ans et vise $30 milliards en 2030
Articles liés
Un calculateur pour améliorer les conceptions des circuits de gestion des puissances de collecte d’énergie
Un calculateur pour améliorer les conceptions des circuits de gestion des puissances de collecte d’énergie
Silicon Labs et Arduino lancent une nanocarte pour IoT Matter
Silicon Labs et Arduino lancent une nanocarte pour IoT Matter
Un nouveau centre de ressources sur les énergies alternatives
Un nouveau centre de ressources sur les énergies alternatives
10s