En réponse aux inquiétudes suscitées par la vulnérabilité des objets connectés (IoT), le Sénat américain a adopté au mois d’août 2017 la loi sur l’amélioration de la cybersécurité de l’Internet des Objets (Internet of Things Cybersecurity Improvement Act). Cette législation doit permettre de définir les normes de sécurité applicables aux équipements installés sur les réseaux de l’administration américaine.
La loi prospective vise à garantir la protection et l’absence de vulnérabilité des équipements en cas d’attaques, la conformité des produits avec les normes sectorielles ainsi que la possibilité de leur appliquer des correctifs. La loi interdirait également aux fournisseurs de vendre des équipements dont les mots de passe ne pourraient être modifiés. Selon ce projet de loi, il revient au Bureau de la gestion et du budget (Office of Management and Budget, service du gouvernement américain dont la principale mission est d’assister le président des États-Unis pour la préparation du budget) de fixer les nouvelles exigences de sécurité applicables aux équipements dont les fonctionnalités logicielles et de traitement des données sont limitées. Chaque agence exécutive doit par ailleurs dresser l’inventaire de l’ensemble de ses équipements et objets connectés à Internet.
S’il est adopté, le projet de loi exigerait également que le gouvernement précise à l’attention de chaque agence les clauses à intégrer aux futurs contrats d’achats d’équipements IoT. Ces clauses porteraient notamment sur l’utilisation de protocoles récents et non dégradés, et sur les exigences en matière de mises à jour, de remplacement ou de suppression en temps utile des vulnérabilités à l’intérieur des composants logiciels et micrologiciels – ces opérations devant être effectuées de façon authentifiée et sécurisée. Les dispositions et les orientations du projet de loi relatives à l’application des normes de sécurité existantes permettront de s’appuyer sur les implémentations qui, pour l’heure, donnent entière satisfaction.
La loi américaine sur l’amélioration de la cybersécurité de l’Internet des Objets permet d’opérer un remaniement indispensable de certaines lois fondamentales comme le Digital Millennium Copyright Act (DMCA) promulgué il y a 20 ans. Globalement, la nouvelle législation semble plutôt bien perçue. Hormis la responsabilité pour les fabricants de devoir expédier un produit fonctionnel, son impact sur eux serait minime. Les chercheurs en sécurité bénéficieraient en outre d’une protection juridique renforcée, leur permettant d’intervenir sur les équipements pour y détecter d’éventuels exploits.
Adoption de l’IoT dans l’administration américaine
Cela fait longtemps que l’administration américaine utilise des équipements connectés à Internet. Aussi, après avoir essuyé un nombre croissant d’attaques, il n’est pas étonnant de la voir prendre aujourd’hui les mesures nécessaires pour sécuriser les nombreux « équipements » qu’elle achète et connecte à ses réseaux.
Une étude menée l’an dernier par le Center for Data Innovation a mis en évidence une utilisation massive des équipements IoT par l’administration américaine, témoignant d’une volonté d’améliorer ses aménagements et de réduire ses coûts. Dans le secteur des bâtiments intelligents, plusieurs milliers de capteurs connectés bon marché ont été installés dans 80 bâtiments gouvernementaux énergivores. La télématique permet à l’Administration des services gouvernementaux de suivre, localiser et surveiller les émissions de plus de 200 000 véhicules. Le but : veiller à leur conformité avec les impératifs de réduction de 30 % des émissions de gaz à effet de serre d’ici 2025. D’autres organismes fédéraux, comme le ministère de la Défense (DoD), installent des étiquettes RFID et des capteurs sur les objets connectés pour suivre et gérer les stocks de fournitures militaires (vêtements, matériaux de construction et équipements médicaux). Ces dispositifs ont permis à la Defense Logistics Agency (DLA) et au US Transportation Command de surveiller chaque mois 3,5 milliards de transactions générées depuis les 67 systèmes logistiques du DoD et 250 transporteurs commerciaux.
Pour le secteur manufacturier où les certificats numériques et les PKI sont en passe de s’imposer, la proposition de loi va dans le bon sens. Ce secteur peut, à cet égard, s’appuyer sur l’offre GlobalSign qui leur permet d’équiper les objets connectés d’identités sécurisées. Les experts tirent en effet la sonnette d’alarme depuis plusieurs années : sans correctifs logiciels pour les équipements connectés ni possibilité de remplacer des mots de passe codés en dur, puis partagés entre plusieurs appareils et configurés en usine, les objets connectés sont vulnérables. Le problème est d’autant plus critique que les pirates informatiques exploitent les failles de sécurité élémentaires, surtout au niveau des capteurs. L’utilisation des bonnes pratiques contribuera à la diffusion du principe d’authentification renforcée, sur le modèle des certificats numériques propres à chaque appareil. Cette loi prospective pourrait marquer un tournant en incitant les fabricants à se rapprocher des acteurs de la cybersécurité pour faire en sorte que, sur un marché IoT en plein essor, les produits vendus soient les plus sécurisés possible.
Notre point de vue sur le projet de loi
Nous continuons d’élargir notre offre de solutions d’identité et de sécurité en direction de certaines des plus grandes entreprises à travers le monde. Au regard du contexte actuel, la proposition de loi illustre, à notre avis, la volonté du gouvernement américain de garantir la sécurité des équipements connectés et mettre en place des solutions de sécurité renforcées afin de limiter les attaques. Avec une capacité d’émission de 3 000 certificats par seconde, notre entreprise est idéalement positionnée pour délivrer des certificats numériques en nombre vers les équipements IoT. L’enjeu porte donc sur la création d’identités matérielles fortes qui permettront, à l’ère de l’Internet des objets, de constituer le socle de la sécurité, de l’authentification, du chiffrement et de l’intégrité matérielle. Nous travaillons en étroite collaboration avec les fabricants de certains appareils susceptibles d’être installés sur les réseaux gouvernementaux.
Nous surveillerons l’évolution de ce projet de loi et son impact sur la prochaine génération d’équipements IoT et l’écosystème associé. Cette législation sur l’amélioration de la cybersécurité aura également des répercussions commerciales, suivant que les organisations décideront d’aborder, ou pas, la question de la sécurité de l’IoT. Si elle est adoptée, cette loi produira ses premiers effets dans les mois qui suivront, dès l’implémentation des premières phases du programme.
Curieux de découvrir le rôle de la PKI pour les entreprises qui décident d’aborder la sécurité IoT ? Consultez notre blog ou rendez-vous sur notre site Web pour en savoir plus sur nos services IoT.
