L'Internet des objets (IoT) a fait son entrée dans les foyers. Alors que la technologie cloud continue d'étendre sa portée commerciale, les applications basées sur le cloud commencent à faire des vagues sur le marché grand public. Aujourd'hui, de nombreux téléphones portables, ordinateurs de bureau et applications TV équipés de fonctionnalités IoT sont disponibles à l'achat. Si l'on ajoute à cela un marché robuste de plateformes sectorielles déjà utilisées, il est clair que l'avenir de l'intégration numérique dans la vie quotidienne viendra des développements de l'IoT.
Cependant, le développement et la mise en œuvre de produits basés sur l'IoT ne sont pas une zone sans risque. De nombreux risques abondent, notamment en termes de sécurité. Plus les gens utilisent des appareils IoT, plus il faut mettre en place un processus d'accréditation clairement défini pour garantir :
1. La qualité des produits
2. Une politique de protection de surveillance est en place
Une infrastructure de sécurité robuste pour prévenir le piratage et d'autres formes de cybercriminalité
Compte tenu de ces préoccupations pressantes, le processus de certification des produits IoT doit être rigoureux et efficace. Définir des normes et des standards est difficile dans tous les secteurs, car cela nécessite un ensemble de critères objectifs et une intervention solide de tiers. Dans le cas de l’IoT, c’est particulièrement difficile car très peu de normes ont été définies.
Le Cadre des critères communs
Le cadre des critères communs pour obtenir une certification de sécurité est hérité de l'assurance de sécurité informatique traditionnelle. CC est une norme internationale de certification de la sécurité informatique, bien qu'il s'agisse d'un processus de vérification exhaustif défini au cas par cas. Il existe au total sept niveaux d'assurance de sécurité.
Dans les technologies de l'information traditionnelles, comme les pare-feu, les commutateurs et les routeurs, les nouveaux produits sont soumis à une évaluation des critères communs (CC). Dans le cadre des CC, les entreprises peuvent lister les exigences fonctionnelles de sécurité (SFR) dans le cadre d'une cible de sécurité. Étant donné que chaque produit peut être conçu différemment et que de nouveaux produits sont toujours en cours de développement, des profils de protection (PP) ont été créés pour les produits courants (comme un système de pare-feu, par exemple).
Les PP servent de référence en termes de qualité et de sécurité du produit. Cela signifie que si une entreprise souhaite introduire de nouvelles fonctionnalités de sécurité dans un pare-feu, elle peut utiliser le PP d'un produit standard pour comparer sa nouvelle offre. Une fois validé par un tiers, un certificat est délivré par les gouvernements nationaux et reconnu par la communauté internationale.
Il s'agit du cadre que les entreprises informatiques et cloud traditionnelles doivent respecter pour obtenir l'accréditation de sécurité pour tout nouveau produit ou toute nouvelle mise à jour de produit. Bien qu'il s'agisse d'un système fastidieux, il fournit des normes de sécurité tierces solides.
Téléviseurs intelligents et un framework CC
Ce n’est que récemment que les entreprises IoT ont réussi à passer avec succès le cadre CC. En 2016, Samsung a obtenu un niveau d’assurance évalué (EAL) 1 pour sa Smart TV. Puis, en avril 2017, LG a franchi une étape supplémentaire et a obtenu un EAL 2 pour son produit Smart TV. L’entreprise a publié une étude détaillant son processus de certification, et voici deux points importants à retenir :
Le processus de certification
Afin d'obtenir une note de niveau 2, LG doit s'assurer que le back-end du téléviseur intelligent fonctionne correctement et dispose d'une sécurité renforcée intégrée.
Étape 1 : Capacité opérationnelle
Il incombe à l'entreprise de prouver de manière adéquate que son produit est résistant aux logiciels malveillants ou aux attaques externes. LG a soumis le logiciel sous-jacent à la Smart TV à une série de tests pour démontrer sa capacité opérationnelle.
Étape 2 : Exigences en matière de sécurité
En l'absence de PP pour la Smart TV, LG a créé des cibles de sécurité basées sur des PP similaires, pour les domaines suivants :
Noyau
Appareil mobile
DRM (Gestion des droits numériques)
Application de la télévision intelligente
Conclusion
En obtenant le statut EAL 2, LG a conçu un cadre interne d’assurance de sécurité IoT compatible CC et a démontré que CC est l’un des meilleurs processus de certification disponibles pour accroître la sécurité et la fiabilité des produits IoT. En effet, s’il est adapté aux contraintes techniques et commerciales de l’IoT, comme le soutiennent des laboratoires de sécurité spécialisés, CC est le seul cadre de certification existant qui est reconnu dans de nombreux pays à travers le monde, offre des niveaux d’assurance flexibles, couvre un large éventail de types de produits IT/IoT et fournit enfin des résultats formels et objectifs. Bien qu’il reste un processus relativement coûteux et chronophage, il reste le meilleur choix pour certains produits et marchés spécifiques et LG a montré qu’il offrait une valeur ajoutée très importante.