Cybersécurité des objets connectés : l’Etsi publie un premier référentiel de base, nécessaire mais pas suffisantJouets et babyphones, détecteurs de fumée, serrures de porte, caméras intelligentes, téléviseurs et enceintes, dispositifs de suivi de santé portés sur soi, systèmes domotiques, alarmes, appareils électroménagers, assistants intelligents… Autant d’équipements à usage grand public de plus en plus connectés à Internet. ...Dans ces conditions, les problèmes de cybersécurité afférents ne peuvent plus être ignorés. Les produits à la sécurité défaillante menacent en effet la vie privée des consommateurs et certains d’entre eux, comme cela a déjà été le cas, peuvent être exploités pour mener des cyberattaques à grande échelle par déni de service distribué DDoS.
« Les parties prenantes à tous les niveaux ont travaillé de concert pour garantir que ces spécifications soient axées sur les résultats attendus plutôt que sur des règles prescriptives, afin que les sociétés aient la possibilité d’innover et d’implémenter des solutions de sécurité adaptées à leurs produits », indique Luis Jorge Romero, directeur général de l’Etsi. Comme de nombreux objets et services IoT traitent et stockent également des données personnelles, le référentiel TS 103 645 va aussi contribuer à garantir leur conformité avec le Règlement général sur la protection des données (GDPR), précise encore l’organisme européen.
« Toutes les dispositions des spécifications Etsi TS 103 465 relèvent de l’hygiène informatique que tout objet intégrant de la connectivité doit suivre a minima, souligne Jean-Pierre Quémard, président de l’ACN. Ces principes de base sont bien sûr nécessaires et leur application généralisée réduirait considérablement les expositions aux risques. Pour autant, elles doivent être comprises comme un premier pas vers une véritable logique de cybersécurisation. » Ces nouvelles spécifications s’inscrivent d'ailleurs dans un contexte de prise de conscience de l’augmentation exponentielle des cyberrisques qui a notamment conduit à la proposition de Cybersecurity Act au niveau européen, indique encore l’Alliance pour la confiance numérique. Le Cybersecurity Act, en cours d’adoption, prévoit la création d’un cadre européen de certification de cybersécurité et définit trois niveaux d’assurance assortis d’exigences différentes : élémentaire, substantiel, élevé. L’ACN souligne que les futurs schémas de certification devront faire référence aux normes et spécifications techniques existantes afin d’être en adéquation avec le marché. Le travail réalisé par les organisations de normalisation comme le groupe Etsi TC Cybersecurity et le comité CEN-Cenelec JTC13 devrait à ce titre fortement inspirer la certification européenne. Néanmoins, l’ACN tient à souligner que les spécifications proposées par l’Etsi n’apportent une réponse que pour le niveau d’assurance basique, au sens du projet de règlement européen, et ne sauraient être suffisantes pour les niveaux substantiel ou élevé. En effet, de nombreuses dispositions de ces spécifications ne sont pas des exigences obligatoires, notamment celles relatives à la mise à jour des logiciels et celles liées à la divulgation de vulnérabilités. L’ACN note également que le chiffrement des données est simplement recommandé, et seulement pour les données sensibles. En outre, ces spécifications n’incluent pas de tests de cyberattaque tels les tests de pénétration, seuls à mêmes de garantir un réel niveau de sécurité correspondant aux niveaux substantiel ou élevé. Un travail complémentaire doit donc être désormais entrepris pour tous les objets connectés qui nécessiteront un niveau d’assurance plus élevé et avec une procédure plus robuste de certification, souligne l'ACN. C’est le cas par exemple des systèmes d’alarme et des enceintes intelligentes sur lesquels une cyberattaque pourrait avoir un impact conséquent en termes de sûreté, de sécurité et de respect de la vie privée. Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC https://www.linkedin.com/showcase/embedded-sec/
|