En place depuis 2020, la loi sur l’amélioration de la cybersécurité exige du National Institute of Standards and Technology (NIST) qu’il élabore des standards et des lignes directrices de sécurité minimum pour le gouvernement fédéral [américain]. Le cadre ainsi défini formera le socle des nouvelles restrictions applicables aux achats d’équipements IoT.
Pour répondre aux exigences de ces agences gouvernementales, les fabricants d’appareils IoT devront respecter de nouvelles normes et réglementations.
Tour d’horizon : la loi sur l’amélioration de la cybersécurité et les orientations du NIST
La loi de 2020 sur l’amélioration de la cybersécurité est la première loi fédérale des États-Unis qui réglemente la sécurité des appareils IoT. Selon cette législation, un appareil IoT est un appareil équipé d’au moins un capteur ou actionneur – pour interagir directement avec le monde physique – et d’au moins une interface réseau. L’appareil doit être capable de fonctionner indépendamment d’un système plus vaste. Ce texte ne concerne pas les smartphones, ordinateurs portables et autres appareils électroniques.
La loi s’applique aux appareils IoT qui appartiennent à ou sont sous le contrôle d’une agence gouvernementale, ces appareils étant connectés à un système d’information fédéral que le NIST définit comme « un système d’information utilisé ou exploité par une agence exécutive, par un sous-traitant d’une agence exécutive ou par un autre organisme pour le compte d’une agence exécutive ».
La loi sur l’amélioration de la cybersécurité des IoT ne s’intéresse pas à la sécurisation des appareils individuels et de fait, n’impose aucune exigence de mot de passe ou de normes de chiffrement. Ces deux technologies de sécurité devront en tout état de cause évoluer. Elle s’en remet au National Institute of Standards and Technology (NIST) pour établir la plupart des standards que les organisations fédérales doivent respecter pour l’acquisition d’appareils connectés. Selon ces règles, la sécurité globale porte sur un ensemble de composants auquel des règles particulières s’imposent afin d’assurer la sécurité des appareils, du cloud et des communications.
La loi de 2020 sur l’amélioration de la cybersécurité de l’IoT exigeait que le NIST publie des standards et des lignes directrices à l’attention des agences pour « une utilisation et une gestion appropriées des appareils [IoT] par les agences ». Le NIST a diffusé l’an dernier la version définitive de ses orientations de cybersécurité IoT à l’attention des agences fédérales (la série NIST SP 800-213, de décembre 2021).
-
Les révisions apportées au document SP 800-213, « IoT Device Cybersecurity Guidance for the Federal Government : Establishing IoT Device Cybersecurity Requirements » ont tenu compte des commentaires des parties prenantes afin de rendre le texte plus clair, plus facile à utiliser et mieux adapté aux multiples possibilités qu’offrent les appareils IoT et qui peuvent être utiles aux agences fédérales.
-
Les révisions apportées au document SP 800-213A, IoT Device Cybersecurity Requirements Catalog, ont abouti à une présentation plus cohérente, à un meilleur équilibre entre les aspects techniques et non techniques, afin que les utilisateurs puissent s’y référer plus facilement. Le catalogue établit des correspondances avec la norme SP 800-53 et le cadre de cybersécurité, ainsi qu’un profil de cybersécurité IoT. Les éléments inclus dans cette nouvelle publication s’appuient sur les contributions collaboratives du public recueillies par le NIST tout au long de l’année 2021 via GitHub.
Cette législation visait à faire établir par le NIST des normes minimum pour les appareils IoT achetés par le gouvernement fédéral afin de profiter potentiellement de la puissance d’achat du gouvernement fédéral et, in fine, sécuriser les appareils IoT.
La loi de 2020 sur l’amélioration de la cybersécurité de l’Internet des Objets interdit en général aux agences d’acheter ou d’utiliser un appareil IoT au-delà du 4 décembre 2022, si cet appareil est jugé « non conforme » aux normes élaborées par l’Institut national des normes et de la technologie (NIST).
Rappelons aux clients des agences fédérales que le cadre de gestion des risques (RMF, Risk Management Framework) demeure le principe directeur fondamental en matière de sécurité pour les systèmes fédéraux et qu’il s’applique tant aux appareils IoT qu’à toute autre technologie d’information, de communication ou d’exploitation.
Adoption de l’IoT par les institutions fédérales américaines
Les institutions fédérales américaines (US Government) s’appuient depuis des années sur des appareils connectés à l’IoT. Compte tenu de l’augmentation du nombre d’attaques, la mise en place d’une législation visant à sécuriser les appareils IoT achetés et connectés sur leurs réseaux parait logique.
Les institutions américaines utilisent largement les appareils IoT pour améliorer leurs sites et réduire leurs coûts. C’est notamment le cas des 80 bâtiments publics énergivores où ont été installés plusieurs milliers de capteurs connectés, à un coût très abordable. L’administration des services généraux américaine emploie la télématique pour suivre, localiser et contrôler les émissions de plus de 200 000 véhicules. L’objectif : s’assurer de leur conformité avec les exigences gouvernementales visant à réduire les émissions de gaz à effet de serre de 30 % d’ici à 2025. D’autres agences fédérales, comme le ministère de la défense américain, s’appuient sur les étiquettes RFID et les capteurs des appareils connectés pour suivre et gérer les stocks militaires, comme les vêtements, les matériaux de construction et les équipements médicaux. Ces appareils ont permis à l’Agence logistique de la défense et au Commandement des transports des États-Unis de contrôler chaque mois des milliards de transactions issues des systèmes logistiques du ministère de la Défense et des transporteurs privés.
Aujourd’hui, les systèmes IoT sont intégrés à d’autres, formant de véritables « systèmes de systèmes ». Cette intégration, qu’il nous faut prendre en compte, fait évoluer la cybersécurité vers un concept plus large de confiance, comprenant non seulement l’intégrité des données, des connexions et des appareils, mais aussi la fiabilité des résultats.
Bonnes pratiques
Les règles de base du NIST comprennent les bonnes pratiques actuelles, comme :
- La mise en place d’identités uniques pour chaque appareil pour que chacun de ces appareils puisse être identifié sur un réseau
- La possibilité pour les utilisateurs autorisés de modifier les fonctions liées à l’accès et à la sécurité
- L’établissement d’un programme de mises à jour par voie hertzienne (OTA, Over The Air) des appareils.
- L’enregistrement des actions d’un appareil IoT ou de son application associée
- La transmission claire et sécurisée des informations relatives à la sécurité d’un appareil à ses utilisateurs.
Pour les secteurs comme l’industrie manufacturière, qui se reposent de plus en plus sur les certificats numériques et les infrastructures à clé publique (PKI) – comme ceux proposés par GlobalSign pour sécuriser l’identité des appareils – cette loi va dans le bon sens. Depuis des années, les experts alertent sur les risques d’exposition des appareils connectés si l’on ne peut appliquer des correctifs logiciels ou remplacer des mots de passe partagés codés en dur dans les usines. Depuis que l’on sait que les failles de sécurité de base peuvent être exploitées par des hackers, surtout au niveau des capteurs, les inquiétudes vont grandissant. La généralisation actuelle des approches d’authentification plus forte, comme les certificats numériques uniques par appareil, procède de l’application des bonnes pratiques existantes. Cette loi marque un tournant pour les fabricants, qui doivent collaborer plus étroitement avec le secteur de la cybersécurité afin de garantir la sécurité des appareils IoT sur un marché en plein essor.
Nos réflexions sur le projet de loi
GlobalSign propose depuis de nombreuses années des solutions d’identité et de sécurité. En tant qu’experts dans ce domaine auprès de certaines des plus grandes organisations au monde, nous voyons dans cette loi une double démonstration de la part des institutions fédérales américaines. Ces dernières ont pris les mesures nécessaires pour garantir la sécurité des appareils connectés, et prévu la mise en place de solutions de sécurité plus fortes pour limiter les attaques. Notre société est particulièrement bien placée pour émettre des certificats numériques en quantités et à grande échelle pour les appareils IoT. Les appareils peuvent ainsi être dotés d’identités fortes pour répondre aux principes clés de la sécurité IoT : authentification, chiffrement et intégrité des appareils. Nous travaillons en étroite collaboration avec les fabricants de certains de ces appareils qui pourraient, dans certains cas, être installés sur les réseaux d’organismes gouvernementaux.
Nous savons aussi que dans le cadre de toute collaboration actuelle ou future avec les institutions gouvernementales, les équipements IoT détenus ou contrôlés par une agence doivent être dotés des mesures de sécurité appropriées. Faute de respecter ces contrôles rigoureux, de nombreuses opportunités commerciales risquent, aujourd’hui comme demain, d’échouer.
En matière d’IoT, les parties prenantes au niveau fédéral doivent rester engagées et actives dans cet environnement : les normes et les recommandations du NIST pour la sécurité des IoT auront des conséquences à long terme sur l’ensemble de l’écosystème IoT.
Même si elles ne sont pas concernées par cette loi, les entreprises non gouvernementales du secteur des IoT ont pourtant tout intérêt à appliquer les normes du NIST. La conformité de leur gamme de produits IoT aux critères de sécurité fédéraux constitue pour elles un argument de vente à mettre en avant.
L’infrastructure à clé publique (PKI) constitue un excellent point de départ pour la sécurité des IoT. Pour en savoir plus, cliquez ici et découvrez nos solutions IoT.
