Exigences_legales_securite_IoT

La sécurité de l’IoT est une préoccupation croissante lors du développement d’objets connectés et pour leur mise sur le marché. Cependant, il y a actuellement un manque de clarté à propos des différentes réglementations et exigences à respecter, car de nombreux acteurs travaillent simultanément sur des certifications, lois et/ou standards. Pour vous aider à vous y retrouver, nous présentons très brièvement quelques principales exigences légales et standards en vigueur qui s’appliquent à l’IoT grand public.

Les principales exigences légales en matière de sécurité de l’IoT au sein de l’Union européenne

ETSI EN 303 645 « CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements » 

Publié en juin 2020 par l’European Telecommunications Standards Institute (ETSI), ce standard a pour objectif de remédier aux faiblesses les plus importantes et les plus répandues. Il donne un socle de sécurité essentielle permettant de se prémunir face aux attaques informatiques ciblant les objets connectés grand public. Il pose également les bases pour de futures certifications IoT.

13 dispositions sont détaillées pour la sécurité des objets connectés et 5 pour la protection des données. La spécification technique TS 103 645 est adaptée par ce standard.

En savoir plus sur le standard ETSI EN 303 645

Radio Equipment Directive (RED)

La Directive RED définit les exigences techniques et administratives pour les équipements radioélectriques. Elle permet l’apposition du marquage CE, qui indique qu’un produit est conforme aux standards demandés pour le marché européen. 

C’est au fabricant de démontrer la conformité du produit, soit par un contrôle interne, soit par un organisme notifié qui étudie le contrôle interne ou examine le système de production.

Considérant que les équipements radio sont de plus en plus souvent connectés, la Commission Européenne étudie une mise à jour spécifique des exigences de la directive RED pour réguler l’IoT. Une réglementation à suivre de près, car certains annoncent une publication des nouvelles exigences pour ce début 2021.

En savoir plus sur la directive RED

Le Règlement Général sur la Protection des Données (RGPD)

Comme le RGPD concerne le traitement de toute donnée personnelle de toute personne résidant dans l’Union européenne, les objets connectés sont naturellement concernés par ce règlement, entré en vigueur en mai 2018. 

Le RGPD demande que les données à caractère personnel soient protégées dès la conception d’un produit (privacy by design) et dans les paramétrages par défaut (privacy by default). 

La conformité avec les exigences du RGPD est une démarche autonome des entreprises. Des amendes fortes sont prévues et commencent à être prononcées en cas de non-respect du règlement.

Le projet de règlement ePrivacy, qui doit harmoniser le RGPD et la directive ePrivacy de 2002, est encore en cours de discussions.

En savoir plus sur le RGPD

Les réglementations en vigueur au Royaume-Uni

Un code de pratique pour la sécurité (Code of Practice for Consumer IoT Security) a été publié en 2018 au Royaume-Uni. C’est un guide de bonnes pratiques pour la sécurité IoT et il se concentre sur 13 domaines. Ce document vise à aider les fabricants, avec les recommandations donnant des mesures axées sur des résultats concrets. 

Pour renforcer ce code de pratique, qui oriente les démarches volontaires, le gouvernement travaille actuellement à l’élaboration d’une loi. Les discussions sont en cours sur la manière dont ces futures exigences légales seraient appliquées, si les revendeurs seraient tenus de ne vendre que des produits connectés :

  •  qui auront un label IoT Security,
  • ou qui seront conformes aux trois principales lignes directrices avec auto-évaluation ou par un système de labellisation,
  • ou qui seront conformes aux 13 domaines du code de pratique, avec auto-évaluation ou par un système de labellisation.

Actuellement, la proposition de loi exigerait que :

  • Tous les mots de passe des objets connectés soient uniques et ne peuvent être réinitialisés à un réglage d’usine universel.
  • Les fabricants de dispositifs IoT grand public fournissent un point de contact public afin que chacun puisse signaler une vulnérabilité.
  • Les fabricants d’appareils IoT destinés aux consommateurs doivent indiquer explicitement la durée minimale pendant laquelle le dispositif recevra des mises à jour de sécurité.

Se conformer au code de pratique actuel semble être une bonne anticipation de la future loi.

Lire le communiqué de presse à propos de l’élaboration en cours de la loi

Les exigences légales en matière de sécurité de l’IoT aux Etats-Unis

L’Internet of Things Cybersecurity Improvement Act est une loi qui a été promulguée le 4 décembre 2020.

En résumant très brièvement, elle demande que le NIST (National Institute of Standards and Technology) publie des lignes directrices et des standards pour la sécurité de tous les objets connectés qui seront utilisés et gérés par des agences fédérales. De plus, ces agences doivent mettre en place des politiques de divulgation responsable des vulnérabilités (responsible disclosure). 

Le texte ne concerne certes pas directement le marché privé des objets connectés, mais il devrait influencer sur une grande majorité de fabricants, qui ne souhaiteront pas se priver des marchés des agences fédérales.

En savoir plus sur l’Internet of Things Cybersecurity Improvement Act

Nous avons fait le choix de ne citer que quelques réglementations qui nous semblent principales, mais prenez le temps d’étudier la situation légale par rapport à votre contexte ou vos objectifs de commercialisation. Par exemple, la Finlande, Singapour, la Californie ou le Japon ont eux aussi publié des lois spécifiques régulant la sécurité des objets connectés.

À côté de ces obligations légales, de nombreux organismes publient des recommandations poussées afin d’accompagner vers de futurs standards. L’ENISA, l’European Network and Information Security Agency, a par exemple élaboré les Guidelines for Securing the Internet of Things (novembre 2020), les Good practices for IoT and Smart Infrastructures Tool ou encore les Good Practices for Security of IoT – Secure Software Development Lifecycle

Des organisations professionnelles s’organisent également pour accompagner cette demande de conformité et lancent même leur propre programme de certification, comme le ioXt, le CTIA or Eurosmart.

Enfin, des prestataires spécialisés peuvent vous accompagner sur des thématiques spécifiques. Par exemple, vous serez peut-être intéressé par notre livre blanc Sécurité des technologies sans fil de l’IoT ou bien par un pentest dédié à l’IoT.