Face à l'inquiétude croissante autour de la cybersécurité et de la protection des données dans le paysage de l'Internet des objets (IoT), l'organisme de normalisation européen Etsi a récemment publié un document complet décrivant les dispositions de sécurité de haut niveau pour les appareils IoT grand public.

Alors que de plus en plus d'appareils domestiques sont connectés à Internet, la protection des données personnelles est, de fait, devenue un enjeu primordial pour les fabricants de produits et les consommateurs. Rassemblées dans le document EN 303 645 V3.1.3 (2024-09), les nouvelles directives, précise l’Etsi, sont conçues pour aider les sociétés impliquées dans le développement et la fabrication d'appareils IoT et fournissent un cadre flexible pour innover tout en garantissant un niveau fondamental de sécurité.

Le document met l'accent sur les dispositions axées sur les résultats attendus en évitant des mesures trop prescriptives, l’idée étant que les organisations puissent adapter les solutions de sécurité à des produits spécifiques. « Les consommateurs dépendent de plus en plus des appareils connectés pour sécuriser leurs transactions, constate Jan Ellsberger, directeur général de l'Etsi. Il est donc crucial pour les fabricants de gagner cette confiance en privilégiant une approche de type security-by-design. Les directives édictées par l’Etsi visent à remédier aux vulnérabilités les plus importantes et je suis convaincu qu'elles contribueront à créer un écosystème IoT plus sûr, et ce tant que nous resterons vigilants, sachant pertinemment que ce travail ne sera jamais terminé. »

Dans la pratique, le récent document publié par l’Etsi spécifie des dispositions de base et établit des exigences de sécurité fondamentales applicables à tous les appareils IoT grand public. Il fournit également des exemples clairs et un texte explicatif sur la manière d'appliquer lesdites dispositions.

Les directives prônées par l’Etsi visent en outre à garantir que les appareils IoT traitant des données personnelles sont conformes aux normes du Règlement général sur la protection des données (RGPD). L’organisme précise également que les révisions futures du document transformeront les recommandations actuelles en dispositions obligatoires.

Parmi les appareils IoT grand public concernés par les nouvelles directives de sécurité qui prennent également en compte les contraintes de ressources particulières auxquelles ces produits peuvent être confrontés (telles que la puissance de traitement et l'alimentation en énergie), l’Etsi cite notamment les assistants domestiques intelligents, les appareils connectés, les dispositifs de suivi de la santé, etc.

L’organisme européen souligne enfin que si ces directives ont vocation à améliorer considérablement les mesures de sécurité applicables aux appareils IoT grand public, elles ne constituent pas une panacée pour relever tous les défis de cybersécurité. Alors que le paysage de l'IoT grand public continue d'évoluer, l'Etsi compte collaborer avec des partenaires du secteur pour affiner ces directives et "garantir une expérience plus sûre et plus sécurisée pour tous les utilisateurs".

Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC