L’organisme de normalisation européen Etsi (European Telecommunications Standards Institute) a publié une spécification de test relative à la norme de sécurité des systèmes IoT grand public EN 303 645, dévoilée en juin 2020 (voir notre article ici). ...Cette spécification de test, référencée Etsi TS 103 701, décrit comment réaliser une évaluation de la conformité d’un système IoT grand public à l’EN 303 645 de manière structurée et complète. Ce qui permet aux fabricants, vendeurs ou distributeurs d'évaluer la conformité de leurs appareils dans le cadre d'une autoévaluation ou par le truchement de laboratoires de test.
Pour rappel, la norme Etsi EN 303 645 a été développée en collaboration avec des industriels, des universitaires, des laboratoires de test et des organismes gouvernementaux internationaux. Alors que de plus en plus d'appareils grand public se connectent à Internet, la cybersécurité de l'Internet des objets (IoT) est devenue une préoccupation croissante. La norme est conçue pour empêcher les attaques à grande échelle contre les appareils IoT que les experts en cybersécurité détectent quotidiennement. Les produits IoT concernés comprennent les jouets connectés pour enfants et les babyphones, les produits connectés liés à la sécurité tels que les détecteurs de fumée et les serrures de porte, les caméras intelligentes, les téléviseurs et les haut-parleurs, les traceurs de santé portables, les systèmes domotiques et d'alarme connectés, les appareils électroménagers connectés (machines à laver, réfrigérateurs...) et les assistants personnels intelligents.
Selon l'Etsi, la conformité à la norme restreint la capacité des attaquants à contrôler des appareils par le biais de botnets (mise en réseau de programmes malveillants) pour lancer des attaques par déni de service distribué DDoS, effectuer du minage de cryptomonnaies ou espionner les utilisateurs chez eux. Selon l'organisme, cette norme est désormais devenue une référence pour sécuriser les appareils IoT partout dans le monde et est déjà utilisée par plusieurs réglementations liées à la cybersécurité. Aujourd'hui, les montres de fitness, les appareils domotiques, les hubs intelligents, les aspirateurs robots, les lave-vaisselle, etc. sont déjà conformes à la norme Etsi.
Dans ce cadre, alors que plusieurs organisations des secteurs public et privé développent des systèmes de certification et d'étiquetage pour la sécurité de l'IoT, une spécification de test était nécessaire. Une approche qui permet de qualifier des produits en vue d’apposer visuellement des étiquettes de conformité vis-à-vis de la sécurité.
Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC