Nouvelles exigences de sécurité pour l’Internet des objets
Un label de sécurité allemand pour les appareils IoT basé sur la norme ETSI EN 303 645 pourrait améliorer la sécurité dans l’Internet des objets et la transparence pour les consommateurs, affirment les experts de l’association eco. Pour rendre ce processus équitable et transparent, les experts en sécurité IoT de l’association eco ont formulé cinq exigences pour un Internet des objets sécurisé.
Que ce soit des serrures de porte intelligentes, des prises, des réfrigérateurs ou des chauffages – des milliards d’appareils sont connectés dans l’Internet des objets (IoT). Cependant, tandis que les capteurs et les interfaces radio permettent des fonctions pratiques, la sécurité est souvent négligée. De nombreux appareils critiques pour la sécurité, tels que les caméras de surveillance ou les routeurs, sont également mal protégés et n’offrent aucune possibilité d’améliorer la sécurité par le biais de mises à jour du micrologiciel. Si les pirates parviennent à accéder à ces appareils, ils peuvent les utiliser dans des réseaux de bots pour des attaques DDoS ou accéder à des données privées. C’est pourquoi l’association eco – Verband der Internetwirtschaft e. V. – accueille favorablement le standard de sécurité IoT ETSI EN 303 645, publié par le Comité technique ETSI sur la cybersécurité (TC CYBER) en juin 2020. La norme définit des exigences de sécurité obligatoires au niveau mondial, des recommandations, des normes de test et des schémas de certification.
L’essentiel
- Un label de sécurité allemand pour les appareils IoT basé sur la norme ETSI EN 303 645 pourrait améliorer la sécurité dans l’Internet des objets et la transparence pour les consommateurs, affirment les experts …
- le standard de sécurité IoT ETSI EN 303 645, publié par le Comité technique ETSI sur la cybersécurité (TC CYBER) en juin 2020.
- C’est également l’objectif de la spécification de test 103 701 basée sur l’EN 303 645, qui étend la norme avec des cas de test pour une procédure d’essai harmonisée et un label uniforme.
- Actuellement, le document concernant la TS 103 701 est encore en phase de commentaires jusqu’à la fin avril et peut être complété par des propositions.
La sécurité par conception dans l’IoT n’est pas encore une évidence
« Les fabricants doivent prendre en compte les aspects de sécurité dès la conception et le développement de nouveaux appareils IoT », déclare Markus Schaffrin, expert en sécurité informatique et directeur du service membres au sein de l’association eco. « La sécurité par conception et la sécurité par défaut sont encore trop rares dans les appareils IoT grand public, des téléviseurs intelligents aux installations de chauffage », ajoute Schaffrin. De plus, il est difficile pour les consommateurs de savoir si leurs appareils IoT sont sûrs ou non.
L’authentification des utilisateurs, les mécanismes de mise à jour du logiciel, la sécurisation de la communication et la protection des données doivent devenir une évidence. C’est également l’objectif de la spécification de test 103 701 basée sur l’EN 303 645, qui étend la norme avec des cas de test pour une procédure d’essai harmonisée et un label uniforme. La spécification de test sert de cadre pour l’évaluation de la conformité de la nouvelle norme. Actuellement, le document concernant la TS 103 701 est encore en phase de commentaires jusqu’à la fin avril et peut être complété par des propositions.
La loi sur la sécurité informatique 2.0 doit améliorer la sécurité IoT
Les appareils IoT devront être régulièrement testés à l’avenir. Source : iStock / hakule
Sur la base de ces normes, un label de sécurité allemand pour les appareils IoT devrait également améliorer la transparence pour les consommateurs à l’avenir. La base légale et le cadre juridique seront fournis par la prochaine loi sur la sécurité informatique 2.0. Du côté du BSI (Office fédéral de la sécurité informatique), les produits et services avec un label de sécurité informatique devraient être régulièrement testés pour vérifier que les exigences sont effectivement remplies.
Pour rendre ce processus équitable et transparent, les experts en sécurité IoT de l’association eco ont formulé cinq exigences lors d’un roundtable des groupes de compétence IoT et sécurité en mars 2021 :
1.Intégrer les labels et certifications existants
Il doit être garanti que les mesures de certification déjà établies ne soient pas négligées par la nouvelle norme et le label de sécurité informatique prévu. Les fournisseurs doivent être davantage impliqués dans le processus pour atteindre l’objectif d’un standard de test clair et uniforme.
2.Transparence du label
Le label de sécurité informatique pour l’Allemagne doit avoir un fort lien avec la pratique et être compréhensible pour les fabricants et les consommateurs. Ainsi, ce label peut se développer en un avantage concurrentiel et s’établir sur le marché – et donner aux utilisateurs un sentiment de sécurité lors de l’achat d’appareils IoT.
3.Tests indépendants
En particulier en ce qui concerne le label de sécurité informatique national, des organismes de test indépendants doivent tester les appareils IoT conformément aux exigences de sécurité définies. Cela garantit la transparence pour les consommateurs et assure la valeur du label et le respect réel des normes de sécurité. Cela renforce la confiance des fabricants et des utilisateurs.
4.Considération de l’ensemble du cycle de vie des appareils IoT
La sécurité doit être prise en compte dès le début et intégrée dès la conception des appareils IoT. La sécurité doit être garantie sur l’ensemble du cycle de vie du produit au moyen de mises à jour. La pensée « sécurité par conception » doit être mise en avant de manière plus procédurale. Pour acquérir une compréhension de base des principes de conception « sécurité par conception », il est recommandé de consulter le guide «Security by Design – Ein Leitfaden für Entscheider» de TeleTrust.
5.Augmentation de la durabilité
La sécurité par conception contribue de manière significative à la durabilité des appareils IoT. Avec la disponibilité de mises à jour de sécurité et la possibilité de corrections de bugs sur une période nettement plus longue que ce qui est actuellement le cas pour de nombreux appareils, ceux-ci n’ont pas besoin d’être mis au rebut prématurément. Les anciens appareils ne représenteraient plus un risque de sécurité et les consommateurs pourraient utiliser leurs appareils beaucoup plus longtemps et surtout en toute sécurité.
« Bien que la norme EN 303 645, la TS 109 701 et un label de sécurité informatique allemand basé sur celle-ci soient des étapes dans la bonne direction, il reste encore beaucoup à faire pour garantir une sécurité IoT robuste », déclare Markus Schaffrin. « Les fabricants doivent être tenus responsables de la sécurité de leurs produits, et les consommateurs doivent être informés des risques potentiels. »
Ce document est encore en phase de commentaires jusqu’à la fin avril et peut être complété par des propositions.
Cet article est basé sur un communiqué de presse de l’association eco pour l’économie internet
Key Facts
Attaques IoT : Le nombre d’attaques contre les appareils IoT a augmenté de 400 % en 2024 par rapport à l’année précédente.
Appareils non protégés : 57 % des appareils IoT en entreprise présentent des vulnérabilités connues.
Questions fréquentes
Pourquoi les appareils IoT sont-ils particulièrement vulnérables aux cyberattaques ?
De nombreux appareils IoT ont une capacité de calcul limitée pour les fonctions de sécurité, utilisent des mots de passe par défaut, reçoivent rarement des mises à jour du micrologiciel et ne sont souvent pas visibles pour la surveillance de la sécurité. De plus, il manque souvent une chiffrement et une authentification de base.
Comment protéger un réseau d’entreprise contre les risques IoT ?
Segmentation du réseau (appareils IoT dans des VLANs séparés), mises à jour régulières du micrologiciel, changement de tous les mots de passe par défaut, surveillance du trafic IoT et un inventaire à jour de tous les appareils connectés.
Que régit le Cyber Resilience Act pour les fabricants IoT ?
À partir de 2027, tous les fabricants de produits connectés dans l’UE devront garantir la sécurité par conception, signaler les vulnérabilités et fournir des mises à jour de sécurité sur l’ensemble du cycle de vie du produit. En cas de violation, des amendes allant jusqu’à 15 millions d’euros peuvent être imposées.
Articles connexes
- Tendances de la cybersécurité 2026 : les 7 développements les plus importants pour les entreprises
- Cybersécurité 2025 : l’année en revue – incidents, tendances, leçons
- Post-quantique : pourquoi les entreprises doivent agir maintenant
Plus du réseau MBF Media
Digital ChiefsStratégies IT pour les décideurs sur digital-chiefs.deMyBusinessFuturePlus de tendances en matière de sécurité informatique sur mybusinessfuture.comSource de l’image : iStock / ipopba
Fait : Selon Unit 42 de Palo Alto Networks, 57 % de tous les appareils IoT sont vulnérables aux attaques.
Fait : Selon Statista, plus de 75 milliards d’appareils IoT seront connectés dans le monde d’ici 2025.
