La politique de l’Internet des objets (IoT) a toujours été un sujet controversé. Ceux qui s’y opposent prétendent qu’il entrave la croissance d’une industrie naissante, tandis que ceux qui le défendent soutiennent qu’il voit l’adoption des meilleures pratiques du marché et aide à développer des normes.
Dans un effort pour combler le fossé, le Département du numérique, de la culture, des médias et des sports (DCMS) a publié son code de pratique en 2018. Enchâssés dans celui-ci, 13 » Les principes « Secure by Style » visent à aider les producteurs à mettre en place des contrôles de sécurité sur place et à offrir un niveau de service client de base. Le code de pratique était volontaire et sans aucun effet, donc pour cette raison édenté, c’est pourquoi beaucoup pensent que son adoption n’a pas été inspirée.
Il s’est passé beaucoup de choses depuis 2018. L’UE, par l’intermédiaire de l’ETSI, a introduit EN303 645, la toute première norme industrielle applicable à l’échelle mondiale sur les appareils clients connectés à Internet en 2020 sur la base du code de pratique. Cela permet aux producteurs ou à un tiers désigné de fournir des documents sur l’appareil testé (DUT), une déclaration de conformité d’application (ICS) et des détails de bonus d’application pour le dépistage (IXIT).
Le DUT est ensuite examiné sous ETSI Directives TS 103 701 qui informent sur les tests et la méthodologie à utiliser pour évaluer les appareils par rapport à EN303 645. Cela nous a rapprochés d’autant plus d’une véritable norme de facto pour l’IoT.
Une ligne dans le sable
h3>
Plus tard la même année, le gouvernement britannique a avoué que « trop d’articles connectés non sécurisés restent sur le marché et nous devons prendre des mesures ». Une évaluation a suivi, entraînant l’ébauche des dépenses d’infrastructure de sécurité et de télécommunications (PSTI), qui se concentre sur la sécurité de l’IdO, la 5G et le haut débit.
Le PSTI ne reprend que les trois principales normes du code de pratique qui sont également dans EN303 645 : une interdiction des mots de passe universels par défaut, les moyens de gérer les rapports de vulnérabilité et une durée minimale pour les mises à jour de sécurité. Ce sont les pratiques qui sont considérées comme présentant les plus grandes menaces pour la sécurité de l’IoT, mais cette focalisation étroite a également fait l’objet d’un déluge de critiques à l’égard de la législation. De manière réaliste, ces exigences n’ont jamais été indiquées que pour tracer une ligne dans le sable. Le concept consiste à commencer par ces contrôles avant d’introduire d’autres exigences plus loin, telles que la protection des informations, les logiciels/matériels conçus en toute sécurité, la confidentialité, la solidité et l’assistance aux utilisateurs.
Annoncé précédemment dans le discours de la Reine en mai, le PSTI devrait être adopté en 2023 lorsqu’il entrera en vigueur dans tout le Royaume-Uni. Bon nombre de ceux qui ont participé à la consultation pensent qu’il leur faudra jusqu’à deux ans pour se mettre pleinement en conformité. Ce point de vue a été repris dans un rapport de l’Internet of Things Security Foundation, qui a découvert que 79 % des entreprises ne respecteraient pas les directives attendues.
L’assurance en tant que pionnier
Bien que le gouvernement fédéral soit plus qu’heureux de mettre son poids derrière le PSTI, il s’est abstenu d’imposer la garantie des articles. Dans l’intervalle, il restera volontaire, bien que la loi inclue une disposition prévoyant un mandat à une phase ultérieure. C’est cette assurance qui montre maintenant la voie. Le DCMS a financé le présent des programmes de garantie, ce qui a permis à l’IASME de lancer son plan de sécurité IoT en 2021. Il permet aux fabricants de marquer leurs articles pour démontrer qu’ils ont effectivement atteint un niveau de sécurité spécifique.
Le plan IASME s’aligne sur la norme EN 303 645 de l’ETSI, le PSTI, et est également mappé sur la structure de conformité de sécurité IoTSF. Il comporte trois niveaux de sécurité : le niveau fondamental nécessite essentiellement la conformité aux trois principales exigences PSTI de la norme ETSI, le niveau Argent la conformité aux exigences obligatoires ETSI et aux dispositions de sécurité de l’information, et le niveau Or les exigences obligatoires ETSI ainsi que toutes les autres L’ETSI a suggéré des exigences et des dispositions en matière de sécurité de l’information. Les fabricants remplissant les conditions auront la possibilité d’afficher le badge pertinent sur leur appareil IoT.
Compte tenu de la mauvaise adoption du code de pratique, l’IASME a voulu s’assurer que les barrières à l’entrée étaient très faibles, donc le plan vise à être rentable, souhaitable et possible. Il faut que le demandeur travaille sur huit classifications de préoccupations concernant les contrôles de sécurité en place sur l’appareil connecté et tous les services associés. Celles-ci couvrent des problèmes tels que les mots de passe et les informations d’identification, les vulnérabilités et les anomalies, les logiciels, la configuration protégée, les communications et l’utilisation des données.
Un membre du conseil d’administration de l’entreprise utilisatrice doit ensuite déclarer que les affirmations sont vraies avant de soumettre la demande via un site Web pour évaluation par un évaluateur autorisé. Tout cela doit être fait dans les 6 mois. Le processus étant jusqu’à présent auto-dirigé, l’évaluateur joue un rôle crucial en fournissant un retour d’information du point de vue de l’utilisateur et en aidant le fabricant à remplir les critères essentiels pour atteindre le niveau d’accréditation souhaité. Si tous les critères sont satisfaits et que l’évaluateur autorise la demande, l’accréditation peut être accordée en aussi peu que 24 heures.
L’action du marché
Il est intéressant de noter que tous ceux que nous avons vus obtenir le plan ont choisi d’opter pour l’or car ils veulent être vus comme adhérant aux niveaux les plus élevés et cela a été apporté dans certaines grandes marques de consommation internationales. Les acteurs de plus petite taille qui avaient auparavant du mal à comprendre et à naviguer dans la bureaucratie associée au code de pratique/ETSI ont également apprécié l’assistance et le contact humain d’un évaluateur.
La théorie est que le système de garantie des articles stimulera la conformité avant le PSTI, facilitant ainsi le changement pour le marché de l’IdO, et le fait que beaucoup aient voulu haut recommande que l’approche fonctionne. Les makers apprécient la présence apportée par le badge, qui devient alors un différenciateur sur le marché, en plus de garantir la conformité future. C’est pour ces raisons que beaucoup voient le déploiement de l’assurance avec intérêt.
Les plans de kitemark IdO varient à l’échelle internationale, allant des labels qui représentent la conformité à un ensemble d’exigences de cybersécurité, à un seul label qui confirme que les fonctions de sécurité standard sont fournies, à plusieurs niveaux ou même une étiquette qui répertorie les détails de cybersécurité sur le gadget IoT (similaire à la liste des ingrédients actifs que vous voyez sur les produits alimentaires).
Assurance aux États-Unis
Aux États-Unis, le NIST a été chargé d’identifier et de suggérer les éléments clés qui doivent être adoptés dans un programme de garantie comparable par le décret du président Biden pour « Améliorer la Cybersécurité du pays « en 2021. Après avoir évalué les plans de kitemark IoT, il a publié ses critères d’étiquetage de cybersécurité pour l’IoT client en février de cette année sur la base de NISTIR 8259, un ensemble de fichiers qui standardisent les capacités de cybersécurité pour les gadgets IoT à partir d’une analyse des normes internationales et assistance.
Comme le DCMS, le NIST a promu une déclaration de conformité, des tests/inspections par des tiers et une certification par des tiers. Il varie, néanmoins, en ce sens que ses recommandations sont « basées sur les résultats », qu’aucune évaluation de conformité unique ne sera adoptée et qu’un seul label binaire a été recommandé pour fonctionner comme un « sceau d’approbation ». Cela révélera qu’une norme de base a effectivement été atteinte, avec des détails supplémentaires éventuellement fournis en ligne via un lien scannable ou accessible ou un code QR (par exemple). Les critères de base se concentreront sur la reconnaissance de la propriété, la configuration du produit, la sécurité des données, le contrôle d’accès à l’interface utilisateur, les mises à jour logicielles, la sensibilisation à l’état de la cybersécurité, la paperasserie, la réception des informations et des demandes, la diffusion des détails et l’éducation et la sensibilisation au produit.
Le NIST ne gérera pas le programme et un « propriétaire du programme », responsable de l’exécution et de la commercialisation du plan, n’a pas encore été nommé. Ce propriétaire pourrait bien choisir de personnaliser les résultats et/ou les preuves à l’appui pour divers produits ou choisir d’introduire des niveaux. La recommandation est que ces niveaux soient basés sur les risques afin que les appareils qui représentent un risque plus élevé pour l’utilisateur ou l’environnement dans lequel ils sont déployés ou qui nécessitent d’être évalués différemment, soient nécessaires pour satisfaire une exigence plus élevée.
Assurance globale
Le NIST souligne également que, comme un tel programme ne fonctionnera pas dans l’isolement, le propriétaire pourrait bien vouloir aligner le programme sur d’autres normes IoT mondiales et plans de kitemark . Une telle « harmonisation » est souhaitable car elle prévient la menace de fragmentation qui pourrait s’avérer difficile pour le marché. L’harmonisation est largement adoptée parmi les exigences des consommateurs telles que CE et son équivalent post-Brexit, UKCA, et garantit qu’un fabricant n’exige de remplir les exigences et de passer des tests de conformité que lorsqu’il n’est pas pour chaque marché.
Il Il sera intéressant de voir dans quelle mesure ces kitemarks réussissent à motiver l’adoption des meilleures pratiques du marché. Mais à en juger par la réaction au plan IASME, l’adoption pourrait bien s’avérer extrêmement favorable. Les deux systèmes ont activement cherché à rendre la procédure de certification préférable et possible, le NIST cherchant à cultiver l’innovation, à éviter qu’elle ne soit lourde et en la rendant fonctionnelle et pertinente pour une base diversifiée d’articles et de cas d’utilisation. Mais ses recommandations sont très variées et ne parviennent pas à créer un véritable processus pratique. Le plan doit encore être déployé et soumis aux rigueurs du monde réel et, contrairement au programme IASME, il n’est pas un précurseur d’une réglementation formelle.
À quoi ressemblera une future apparence plus formalisée et contrôlée pour l’IoT ? Le marché a en fait déjà été comparé au Far West en ce sens qu’il y avait une grande liberté de marché mais aussi un degré d’anarchie et des vulnérabilités faciles à corriger. Le PSTI sera avec succès le nouveau shérif de la région, établissant la loi, mais sur seulement trois principes de style.
Il reste à voir comment celles-ci seront appliquées et par qui, mais le fait que les fabricants seront obligés de s’y conformer pourrait changer radicalement l’industrie. Lorsqu’un fabricant a dû observer un ensemble de concepts sur un marché et mettre en place les contrôles essentiels, il est logique de les utiliser sur d’autres marchés. Ce qui suggère que ces plans de kitemark et le pouvoir d’achat des consommateurs pourraient en fait suffire à lancer une sécurité IoT plus fiable.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
