L’Etsi publie une norme de sécurité pour l'IoT grand public de classe mondiale

Le comité technique de l'Etsi (European Telecommunications Standards Institute) sur la cybersécurité (TC CYBER) vient de publier la norme Etsi EN 303 645 qui établit une base de travail sur la sécurité dans les produits de consommation courante connectés à Internet.... L’organisme de normalisation européen avait déjà publié en mars 2019 une première ébauche de cette norme sous le label TS 103 645 qui décrivait un premier référentiel pour la cybersécurité des objets connectés en recensant les règles minimales que tout concepteur IoT devrait suivre dans un monde où les cybermenaces se font toujours plus présentes.

C’est ce référentiel, jugé à l’époque intéressant mais insuffisant par les professionnels du secteur, qui a servi de socle pour la norme EN 303 645, qui est, selon l’Etsi, le résultat de la collaboration et de l'expertise conjointe de l'industrie, des universitaires et des Etats.

On le sait, alors que de plus en plus d'appareils domestiques se connectent à Internet, la cybersécurité de l'Internet des objets est devenue une préoccupation croissante de l’industrie et des consommateurs. Le document EN est conçu pour empêcher les attaques à grande échelle contre les appareils intelligents que les experts en cybersécurité détectent chaque jour. La conformité à la norme restreindra la capacité des attaquants à contrôler les appareils à travers le monde pour lancer des attaques DDoS, exploiter des cryptomonnaies et espionner les utilisateurs dans leurs propres maisons.

En empêchant ces attaques, l'EN représente, toujours selon l’Etsi, une énorme amélioration de la sécurité et de la confidentialité de base des objets connectés. La norme Etsi EN 303 645 spécifie ainsi 13 dispositions pour la sécurité des appareils grand public connectés à Internet et de leurs services associés. Les produits IoT ciblés incluent les jouets pour enfants et les moniteurs pour bébé, les produits connectés liés à la sécurité tels que les détecteurs de fumée et les serrures de porte, les caméras intelligentes, les téléviseurs et les enceintes connectées, les trackers de santé portables, les systèmes domotiques et d'alarme, les appareils électroménagers connectés (par exemple les machines à laver, les réfrigérateurs...) et les assistants domestiques intelligents.

Le document comprend également 5 dispositions spécifiques en matière de protection des données pour l'IoT grand public.

L’Etsi EN 303 645 est selon ses concepteurs une norme cohérente qui présente un objectif unique réalisable à atteindre pour les fabricants et les parties prenantes de l'IoT. De nombreuses organisations ont déjà basé leurs produits et leurs systèmes de certification autour de le norme EN et de son prédécesseur le document TS.

« Nous avons lancé le Finish IoT Label en Finlande en novembre 2019, explique Juhani Eronen de l’organisme de certification finlandais Traficom, impliqué dans le développement de la norme. C'était une première mondiale et elle a suscité beaucoup d'intérêt car nos labels sont attribués aux appareils intelligents de mise en réseau qui répondent aux critères de certification reposant sur l’EN 303 645. Cette approche aide concrètement les consommateurs à identifier les appareils IoT suffisamment sécurisés. À ce jour, nous avons attribué les labels à plusieurs produits, notamment des montres de fitness, des appareils domotiques et des hubs intelligents. Notre implication dans le développement de la norme Etsi depuis le début nous a aidés à construire notre système de certification. »

« Legrand a contribué à la norme Etsi EN 303 645 qui se concentre sur les contrôles de base des produits pour remédier aux failles de sécurité les plus courantes dans l'écosystème IoT, explique Mahmoud Ghaddar, Chief Information Security Officer chez Legrand. Garantir un meilleur niveau de sécurité dans l'écosystème IoT ne peut être atteint que si les gouvernements, l'industrie et les consommateurs collaborent sur un objectif commun et accessible, et que les organismes de normalisation comme l'Etsi fournissent la bonne plate-forme pour y parvenir. »

A noter que le comité technique TC CYBER poursuit ses travaux sur la sécurité de l'IoT avec le développement d'une spécification de test et d'un guide de mise en œuvre pour compléter la norme EN 303 645, téléchargeable gratuitement ici.

Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC https://www.linkedin.com/showcase/embedded-sec/