La s\u00e9curit\u00e9 de l’internet des objets (IdO) a fait l’objet d’un vaste d\u00e9bat et d’un engagement mondial. Divers organismes de normalisation, dont le NIST, l’ETSI et l’ISO, ont formul\u00e9 des lignes directrices visant \u00e0 renforcer la s\u00e9curit\u00e9 des dispositifs interconnect\u00e9s, dont certaines ont \u00e9t\u00e9 transform\u00e9es en mesures l\u00e9gislatives. Les gouvernements sont de plus en plus pr\u00e9occup\u00e9s par la s\u00e9curit\u00e9 de l’IdO en raison de son utilisation g\u00e9n\u00e9ralis\u00e9e dans les infrastructures nationales essentielles.<\/p>\n
Les nouvelles initiatives en mati\u00e8re de cybers\u00e9curit\u00e9 lanc\u00e9es par les gouvernements peuvent poser des probl\u00e8mes aux organisations concern\u00e9es. Ces initiatives s’appuient souvent sur la r\u00e9glementation, les rapports, les proc\u00e9dures bureaucratiques et d’autres \u00e9l\u00e9ments qui contribuent aux exigences des op\u00e9rations informatiques. Naturellement, elles impliquent une p\u00e9riode d’adoption ax\u00e9e sur l’effort que les organisations doivent planifier et traverser. Mais la prolif\u00e9ration rapide des appareils IoT a signifi\u00e9 qu’une plus grande adoption de la s\u00e9curit\u00e9 de l’IoT est dans la ligne de mire des professionnels de la cybers\u00e9curit\u00e9 depuis un certain temps.<\/p>\n
La loi PSTI, la loi sur la r\u00e9silience cybern\u00e9tique et la marque de confiance cybern\u00e9tique des \u00c9tats-Unis sont les trois r\u00e9glementations les plus importantes en mati\u00e8re d’IdO qui seront adopt\u00e9es cette ann\u00e9e, en particulier pour les entreprises op\u00e9rant au Royaume-Uni, en Europe et aux \u00c9tats-Unis.<\/p>\n
La loi britannique sur la s\u00e9curit\u00e9 des produits et l’infrastructure des t\u00e9l\u00e9communications (PSTI) entrera en vigueur le 29 avril 2024. Cette loi s’applique \u00e0 tous les produits IoT grand public, y compris les appareils tels que les syst\u00e8mes d’alarme domestiques connect\u00e9s, les assistants domestiques intelligents, les smartphones, les cam\u00e9ras connect\u00e9es et les produits blancs. Cela signifie que les entreprises qui font partie de la cha\u00eene d’approvisionnement de ces produits doivent se conformer \u00e0 la l\u00e9gislation \u00e0 cette date.<\/p>\n
Les parties prenantes concern\u00e9es par cette l\u00e9gislation sont les fabricants, les importateurs et les distributeurs (c’est-\u00e0-dire les d\u00e9taillants qui vendent ces appareils) d’appareils IoT grand public. Les exigences ci-dessous s’adressent aux fabricants, mais les d\u00e9taillants de ces dispositifs ont le devoir de s’assurer que les produits qu’ils vendent sont conformes \u00e0 cette l\u00e9gislation. Une d\u00e9claration de conformit\u00e9 peut \u00eatre un moyen pour les distributeurs de confirmer que les dispositifs sont conformes \u00e0 la loi. Les entreprises ne pourront pas vendre de produits sans ce document et le non-respect de cette obligation pourrait entra\u00eener une amende pouvant aller jusqu’\u00e0 10 millions de livres sterling ou 4 % du chiffre d’affaires mondial d’un fabricant, avec des p\u00e9nalit\u00e9s journali\u00e8res suppl\u00e9mentaires en cas de non-respect continu.<\/p>\n
Les trois principaux \u00e9l\u00e9ments de s\u00e9curit\u00e9 de la l\u00e9gislation sont les suivants :<\/p>\n
<\/p>\n
La loi europ\u00e9enne sur la cyber-r\u00e9silience (CRA) va plus loin que la loi PSTI, en renfor\u00e7ant la s\u00e9curit\u00e9 des logiciels et des appareils connect\u00e9s utilis\u00e9s par les consommateurs et les entreprises. Les autorit\u00e9s de surveillance du march\u00e9 de chaque \u00c9tat membre de l’UE seront charg\u00e9es d’infliger des amendes aux entreprises non conformes, jusqu’\u00e0 une limite fix\u00e9e dans la loi, et d’interdire la mise sur le march\u00e9 des dispositifs non conformes.<\/p>\n
En cas de violation d’un syst\u00e8me IdO, il est peu probable que l’organisation concern\u00e9e soit la seule touch\u00e9e, les r\u00e9percussions se faisant sentir tout au long de la cha\u00eene d’approvisionnement. Si les fabricants seront probablement les entit\u00e9s les plus responsables de la majorit\u00e9 de ces exigences, la l\u00e9gislation adopte une approche holistique de la cha\u00eene d’approvisionnement, ce qui signifie qu’elle s’applique \u00e9galement aux distributeurs et aux importateurs.<\/p>\n
L’Agence vise deux \u00e9l\u00e9ments cl\u00e9s : le premier consiste \u00e0 garantir un niveau \u00e9lev\u00e9 de s\u00e9curit\u00e9 tout au long du cycle de vie du mat\u00e9riel et des logiciels en appliquant une approche \u00ab\u00a0s\u00e9curis\u00e9e d\u00e8s la conception\u00a0\u00bb avec la fourniture coh\u00e9rente et compl\u00e8te de mises \u00e0 jour de s\u00e9curit\u00e9 ainsi que l’obligation de signaler les incidents ayant une incidence sur la s\u00e9curit\u00e9 des dispositifs connect\u00e9s dans les vingt-quatre heures. Deuxi\u00e8mement, elle donne aux consommateurs un r\u00f4le actif dans la s\u00e9lection des produits en fonction de leur niveau de cybers\u00e9curit\u00e9 en exigeant des fabricants qu’ils soient transparents sur les dispositifs de s\u00e9curit\u00e9 mis en place.<\/p>\n
La l\u00e9gislation a \u00e9t\u00e9 accept\u00e9e par les d\u00e9cideurs politiques \u00e0 la fin de l’ann\u00e9e derni\u00e8re, marquant la fin de d\u00e9saccords et de n\u00e9gociations de longue date. Le texte devrait \u00eatre formellement adopt\u00e9 par le Parlement et le Conseil europ\u00e9en dans le courant de l’ann\u00e9e. Une fois la loi promulgu\u00e9e, les fabricants, importateurs et distributeurs de mat\u00e9riel et de logiciels disposeront de 36 mois pour s’adapter aux nouvelles exigences, \u00e0 l’exception d’un d\u00e9lai de gr\u00e2ce plus limit\u00e9 de 21 mois en ce qui concerne l’obligation des fabricants de signaler les incidents et les vuln\u00e9rabilit\u00e9s.<\/p>\n
Pour r\u00e9pondre aux pr\u00e9occupations li\u00e9es \u00e0 la s\u00e9curit\u00e9 de l’IdO, le gouvernement am\u00e9ricain a r\u00e9cemment d\u00e9voil\u00e9 la tr\u00e8s attendue \u00ab\u00a0Cyber Trust Mark\u00a0\u00bb. Comme le mentionne le d\u00e9cret du pr\u00e9sident Biden, cette initiative introduit un programme d’\u00e9tiquetage complet qui permet aux consommateurs de prendre des d\u00e9cisions \u00e9clair\u00e9es concernant la s\u00e9curit\u00e9 de leurs appareils IdO. \u00c0 l’instar des \u00e9tiquettes nutritionnelles que l’on trouve sur les aliments, la marque am\u00e9ricaine Cyber Trust Mark vise \u00e0 renforcer la confiance des consommateurs dans les produits IdO en offrant des informations de s\u00e9curit\u00e9 claires et normalis\u00e9es.<\/p>\n
Plus pr\u00e9cis\u00e9ment, les consommateurs pourront se faire une id\u00e9e des \u00e9l\u00e9ments suivants de leurs produits IdO :<\/p>\n
<\/p>\n
Alors que les cadres r\u00e9glementaires continuent d’\u00e9voluer des deux c\u00f4t\u00e9s de l’Atlantique, toutes les entreprises impliqu\u00e9es dans la production et la distribution de dispositifs IdO qui op\u00e8rent sur ces march\u00e9s, doivent rester vigilantes et se conformer \u00e0 une r\u00e9glementation nettement plus stricte. \u00c0 partir de cette ann\u00e9e, investir dans un fournisseur de s\u00e9curit\u00e9 IoT capable de garantir la conformit\u00e9 sera le moyen le plus efficace de continuer \u00e0 acc\u00e9der aux march\u00e9s europ\u00e9en et am\u00e9ricain, sous peine d’une lourde p\u00e9nalit\u00e9 financi\u00e8re.<\/p>\n
Les fabricants de semiconducteurs et de puces ne porteront plus le poids de la s\u00e9curit\u00e9 de l’IdO, car l’engagement commun en faveur du renforcement de la cybers\u00e9curit\u00e9 et de l’autonomisation des consommateurs indique une trajectoire positive vers un \u00e9cosyst\u00e8me de l’IdO plus s\u00fbr et plus r\u00e9silient. Le respect de ces r\u00e9glementations ne prot\u00e8ge pas seulement les entreprises contre les amendes, mais favorise \u00e9galement une culture de la responsabilit\u00e9 dans le monde en expansion rapide des dispositifs interconnect\u00e9s.<\/p>\n