IoT 10-07-2022

Sécurité IoT : l’UE légifère pour la première fois

Mike Nelson
digicert-blogimages-mar22

Implications de la proposition de règlement sur la cyberrésilience

Le règlement de l’UE sur la cyberrésilience sera le premier à imposer des règles de cybersécurité aux fabricants dans toute l’Union européenne. Il s’appliquera tant aux matériels qu’aux logiciels et, à travers ces produits, à leurs fabricants et développeurs en les tenant responsables de la sécurité des objets connectés. La Commission européenne déclare que le règlement s’attaque à deux problèmes : « le faible niveau de cybersécurité de beaucoup de ces produits, et surtout le fait que de nombreux fabricants ne fournissent pas de mises à jour permettant de remédier aux vulnérabilités ».

Obligations imposées par le futur règlement sur la cyberrésilience

Même si le texte lui-même est encore à l’étude, on peut néanmoins s’attendre à ce que le diable soit dans les détails. Comme dans d’autres règlements avant lui, nous pensons que l’UE optera pour une approche non contraignante, autour de formulations relativement génériques : « chiffrement des données sensibles », « capacité de mise à jour des appareils », « garantie de l’intégrité des logiciels et firmwares », etc. Toutefois, pour justifier une sanction, elle aura besoin de critères d’évaluation tangibles. Elle imposera probablement des mises à jour régulières des matériels et logiciels puisqu’il s’agit d’un des problèmes majeurs soulevés par la Commission européenne. Or, la diffusion de mises à jour automatiques sur un très grand parc d’appareils s’avèrera difficile sans une bonne solution d’automatisation des tâches. En outre, la Commission européenne a déclaré que les consommateurs devront être mieux informés pour prendre des décisions d’achat avisées et configurer leurs appareils en toute sécurité.

Impact du règlement sur les fabricants d’objets connectés

Les fabricants d’équipements IoT pourraient encourir des sanctions et amendes importantes en cas de non-respect du prochain règlement sur la cyberrésilience. Ce sera d’ailleurs l’un des premiers règlements à prévoir une sanction financière en cas de non-conformité. De même, l’UE affirme clairement qu’il incombera aux fabricants et aux développeurs de porter le poids financier de mise en conformité.

Par ailleurs, les produits qui ne rempliront pas les critères de cybersécurité « de base » seront interdits. Les fabricants doivent donc commencer à intégrer la sécurité dès la conception pour que les appareils commercialisés dans les prochaines années soient conformes aux normes de sécurité qui seront entrées en vigueur entre-temps. Les autorités de surveillance du marché de chaque État membre de l’UE auront pour mission de condamner les entreprises en infraction à des amendes jusqu’à hauteur du montant maximal fixé dans le règlement, et d’interdire les appareils non conformes. Toutefois, l’existence d’une seule et même norme de cybersécurité pour toute l’Union européenne facilitera également la mise en conformité côté fabricants.

Avantages pour les consommateurs

Le règlement de l’UE sur la cyberrésilience rétablira le pouvoir de force en faveur des consommateurs et leur donnera davantage confiance en leurs appareils, car elle obligera les fabricants à fournir des informations sur la sécurité de leurs produits avant l’acte d’achat. Elle exigera de mieux accompagner les consommateurs dans le choix d’un produit sûr et dans la configuration sécurisée de leurs appareils. Tout comme les produits alimentaires affichent leurs ingrédients sur des étiquettes, des équipements devront fournir des informations sur leur sécurité. Les acheteurs disposeront alors de tous les éléments pour prendre de meilleures décisions.

Puisque les fabricants seront soumis à une obligation de transparence sur le sujet, les consommateurs auront davantage confiance dans les objets connectés disponibles sur le marché. Enfin, la Commission européenne pense que cela pourrait même stimuler la demande « de produits comportant des éléments numériques ».

IoT, l’importance d’une sécurité dès la conception

Les régulateurs ne devraient pas avoir à brandir la menace de lourdes sanctions et amendes pour encourager la sécurité. Seulement voilà, les concepteurs d’appareils relèguent trop souvent cette dernière au second plan. Dans un monde parfait, les entreprises auraient pleinement conscience de l’importance de protéger leurs ressources, leurs clients, leur réputation et leurs collaborateurs. La sécurité apparaîtrait alors comme une évidence. Mais comme la perfection n’est pas de ce monde, la peur du gendarme reste encore le meilleur moyen de persuasion. En outre, la capacité des autorités de tutelle des différents États membres à interdire ou limiter la vente de produits non conformes favorisera le renforcement global de la sécurité.

Entrée en vigueur du règlement sur la cyberrésilience

À ce jour, il revient au Parlement et au Conseil européens d’examiner et d’adopter ce texte. Par la suite, les États membres auront deux ans pour l’appliquer. Les fabricants ont donc tout intérêt à préparer leur mise en conformité à moyen terme.

Toutefois, le resserrement règlementaire dans le domaine des objets connectés ne s’arrêtera pas là. Le règlement de l’UE sur la cyberrésilience n’est qu’une première étape. Nous nous attendons à voir les autres régulateurs s’inspirer de ce texte pour élaborer des normes similaires. Le cadre réglementaire de l’IoT est donc appelé à s’étoffer d’année en année. D’où l’importance pour les fabricants d’adopter maintenant des mesures de cybersécurité dès la conception.

Dans la même veine, les acteurs de différents secteurs s’associent pour résoudre les problématiques de sécurité des appareils. Par exemple, le protocole Matter pour l’interopérabilité, la sécurité et la fiabilité des appareils de domotique pourrait bien montrer la voie à suivre pour la sécurisation des objets connectés. Bien que nous ne connaissions pas encore l’intégralité du texte du nouveau règlement de l’UE, il est fort probable que les fabricants conformes à Matter – grâce notamment à des certificats d’attestation d’appareils et à des certificats intermédiaires d’attestation de produits – satisfassent aux exigences des législateurs européens. Par ailleurs, ils pourront apposer le sceau Matter sur leurs équipements pour prouver la sécurité de leurs produits aux consommateurs.

DigiCert, partenaire de votre cyberrésilience

Pour DigiCert, le règlement de l’UE sur la cyberrésilience devrait produire un effet de levier sur la confiance numérique dans notre monde connecté. Depuis longtemps, nous prônons la nécessité d’intégrer la sécurité dès la conception. Et nous joignons l’acte à la parole en accompagnant les fabricants sur cette voie grâce à notre expertise et nos solutions. Par exemple, DigiCert pour les objets connectés allie IoT Device Manager et Mocana dans une solution multiprimée qui aide les fabricants à gérer tout le cycle de vie de leurs appareils, y compris la diffusion de mises à jour sécurisées. Rendez-vous sur https://www.digicert.com/iot/trust-for-connected-devices pour découvrir comment optimiser votre sécurité IoT avant l’entrée en vigueur du nouveau règlement, tout en améliorant votre cote de confiance numérique auprès de consommateurs.

À propos de DigiCert® IoT Device Manager

IoT Device Manager offre un workflow complet et automatisé pour aider les entreprises à sécuriser leurs appareils IoT à l’aide de certificats numériques, de leur fabrication jusqu’à leur exploitation en périphérie du réseau. Cette solution de gestion IoT offre l’évolutivité, la flexibilité, le contrôle et l’efficacité nécessaires à la mise en place d’un réseau d’appareils connectés. Les administrateurs peuvent ainsi suivre l’intégralité du cycle de vie de leurs certificats, faciliter le déploiement de mises à jour sécurisées et personnaliser les métadonnées des appareils concernés tout en garantissant leur conformité. Plutôt que de créer et de maintenir une infrastructure PKI autogérée, IoT Device Manager automatise les déploiements PKI pour simplifier la gestion d’un vaste réseau d’appareils. Enfin, la personnalisation des permissions et du contrôle des accès permet de segmenter l’administration en fonction de différents groupes d’utilisateurs. Intégrée à DigiCert ONE™, cette plateforme flexible peut être déployée sur site, en local ou dans le cloud, et ainsi satisfaire aux exigences les plus strictes en termes de conformité, d’intégrations personnalisées et d’airgap.