On estime à 7,74 milliards le nombre d'appareils connectés à l'IoT, dans le monde et ce chiffre devrait atteindre 29 milliards d'ici 2030. Au cours des derniers mois, nous avons assisté à de grandes annonces en faveur d'une plus grande résilience des appareils connectés face à la cybercriminalité. Il s'agit notamment de la nouvelle norme mondiale de la Connectivity Standards Alliance (CSA) et de la proposition de loi sur la cyber-résilience de l'Union européenne (UE). Mais comment ces efforts vont-ils rendre les appareils plus résistants aux cyberattaques ?
Comment la Connectivity Standards Alliance (CSA) va-t-elle unifier à l'échelle mondiale la façon dont nous sécurisons les appareils ?
Jusqu'à présent, il n'existait pas de norme simplifiée et mondialement acceptée pour la connexion des appareils IoT, ce qui a conduit les consommateurs à disposer de méthodes multiples et confuses pour les connecter chez eux. La Connectivity Standards Alliance (CSA) vise à transformer cette situation tout en garantissant la sécurité des nouveaux appareils grâce à une nouvelle norme mondiale. La norme, connue sous le nom de Matter, encourage l'interopérabilité entre les appareils et les plateformes et développe l'avenir de la maison intelligente.
Lire aussi : GlobalSign rejoint la Connectivity Standards Alliance (CSA)
En savoir plus sur la sécurité des dispositifs IoT
Qu'est-ce que la loi sur la cyber-résilience ?
La proposition de loi sur la cyber-résilience a été publiée par l'UE en septembre 2022. Il s'agit d'un règlement qui vise à renforcer les règles de cybersécurité afin de garantir que les produits matériels et logiciels commercialisés sur le marché de l'UE soient plus sûrs.
Les produits matériels et logiciels font de plus en plus l'objet de cyberattaques, et leur coût est estimé à 5,5 billions d'euros à l'échelle mondiale. Actuellement, le cadre juridique de l'UE n'aborde pas la question de la cybersécurité des logiciels non intégrés, et deux objectifs principaux ont donc été identifiés dans la proposition :
- Mettre sur le marché des produits matériels et logiciels présentant moins de vulnérabilités, en créant les conditions nécessaires au développement de produits sûrs comportant des éléments numériques et en veillant à ce que les fabricants prennent la sécurité au sérieux tout au long du cycle de vie d'un produit.
- permettre aux utilisateurs de tenir compte de la cybersécurité lorsqu'ils choisissent et utilisent des produits comportant des éléments numériques.
Comment la proposition de loi sur la cyberrésilience sécurisera-t-elle les dispositifs ?
Première législation européenne de ce type, la loi sur la cyber-résilience introduira des exigences obligatoires en matière de cybersécurité pour les produits comportant des éléments numériques, tout au long de leur cycle de vie. Cela devrait concerner aussi bien les produits de consommation que les produits industriels. Les mesures proposées comprennent un cadre qui s'étend sur toute la chaîne de valeur, de la planification, de la conception et du développement à la maintenance et au soutien continu.
Source: Cyber Resilience Act factsheet
Quelles sont les obligations des fabricants en vertu de la proposition de loi sur la cyber-résilience ?
- La cybersécurité est prise en compte dans toutes les phases : planification, conception, développement, production, livraison et maintenance.
- Tous les risques liés à la cybersécurité sont documentés
- Les vulnérabilités et les incidents activement exploités devront être signalés
- Une fois le produit vendu, les fabricants doivent veiller à ce que les vulnérabilités soient traitées efficacement pendant la durée de vie prévue du produit ou pendant une période de cinq ans (la période la plus courte étant retenue).
- Des instructions claires et compréhensibles pour l'utilisation des produits comportant des éléments numériques
- Des mises à jour de sécurité disponibles pendant au moins cinq ans.
Quand la loi sur la cyber-résilience entrera-t-elle en vigueur ?
La loi sur la cyber-résilience est actuellement examinée par le Parlement européen et le Conseil. Si elle est adoptée et entre en vigueur, les opérateurs économiques et les États membres disposeront de deux ans pour s'adapter aux nouvelles exigences.
Il convient de noter que l'obligation de signaler les vulnérabilités et les incidents activement exploités s'appliquera après un an.
Comment sécuriser les appareils connectés dès maintenant ?
Bien que la CRA proposée soit un développement important, il existe des mesures que vous pouvez prendre pour sécuriser les appareils dès maintenant avec la technologie d'infrastructure à clé publique (PKI).
La PKI offre une expérience IoT de confiance soutenue par des certificats numériques sécurisés et avec la plateforme d'identité IoT de GlobalSign, la sécurité des appareils devient évolutive, flexible et interopérable.
