La Maison Blanche a organisé un atelier pour discuter de l'élaboration d'un programme de sécurisation des appareils IoT, qui devrait démarrer en 2023 et s'appliquer dans un premier temps à deux types d'appareils grand public « particulièrement vulnérables » : les routeurs WiFi et les caméras de sécurité domestiques. Le plus important est de savoir comment les fabricants d'appareils seront incités à se conformer au programme. Au lieu de les menacer de conséquences terribles s'ils ne respectent pas certaines exigences de cybersécurité, les fournisseurs seront « persuadés » de se conformer à ces exigences par le fait que, s'ils ne le font pas, ils ne recevront pas l'étiquette d'appareil que les consommateurs seront amenés à rechercher lorsqu'ils achètent un appareil IoT.
En d’autres termes, le gouvernement avertira les fabricants : « Si vous ne voulez pas apporter le moindre changement à vos mesures de sécurité actuelles (ou à leur absence), vous êtes libre de suivre cette voie. Cependant, si nous parvenons à sensibiliser le public à l’importance de rechercher le label de cybersécurité sur tout appareil qu’il achète, vous pourriez vous rendre compte que vous n’avez pas autant de clients que vous l’espériez. »
Les articles de presse sur l'atelier ont clairement indiqué que le modèle explicite de ce programme est le programme Energy Star , qui utilise une étiquette pour informer les consommateurs des appareils qui répondent à certaines normes d'efficacité énergétique. Ce programme a rencontré un grand succès.
Bien sûr, un programme d'étiquetage des dispositifs de cybersécurité est une idée relativement nouvelle. Les mises en œuvre les plus réussies de cette idée jusqu'à présent ont eu lieu à Singapour et en Finlande. Ces deux marchés sont très petits, il n'est donc pas possible de tirer de véritables conclusions sur ce que le succès du programme signifie pour les États-Unis. Cela étant dit, les deux programmes ont été couronnés de succès, et celui de Singapour a récemment été étendu aux dispositifs médicaux . Les deux programmes nécessitent des tests par des tiers pour obtenir le label.
L'Allemagne est un autre pays qui a mis en place un programme d'étiquetage des appareils. Toutefois, cette étiquette est à titre informatif . Elle indique que le fabricant atteste qu'il répond à environ cinq exigences de sécurité. Si le fabricant est disposé à faire ces attestations, il recevra une étiquette (le programme est volontaire, donc aucun fabricant n'est obligé d'y participer).
Certes, se fier uniquement aux attestations n’est pas idéal, car le fabricant peut toujours mentir. Cependant, si le fabricant subit une violation et qu’il devient évident qu’il a menti dans une ou plusieurs des attestations, son label peut être révoqué. Étant donné qu’une fausse attestation sur sa cybersécurité refléterait sans aucun doute très négativement sur le fabricant, il est raisonnable de supposer que la plupart des attestations seront véridiques. Si un fabricant a une sécurité médiocre, il ne prendra même pas la peine de demander le label, mais je doute fortement qu’il mente pour l’obtenir.
Il faut noter que la réunion de la semaine dernière n’était pas la première fois que la Maison Blanche évoquait un programme d’étiquetage de sécurité des appareils IoT. Dans le décret 14028 de mai 2021, la Maison Blanche a ordonné au NIST « d’identifier les critères de cybersécurité de l’IoT pour un programme d’étiquetage des produits grand public… » dans un délai de 270 jours. Presque exactement le 270e jour, le NIST a publié ce document. Il comportait deux parties.
La première partie était un ensemble de « critères » (c’est-à-dire d’exigences) pour le programme d’étiquetage des dispositifs. Dans mon examen d’un document antérieur à ce document en décembre (qui est resté pratiquement inchangé dans la version finale), j’ai dit que je pensais qu’ils correspondaient exactement à ce qui était requis : le NIST les appelait des critères « basés sur les résultats » et je les qualifierais de « basés sur les risques ».
Mais les deux termes sont synonymes : le fabricant est tenu d’atteindre un résultat général, mais les étapes exactes par lesquelles il y parvient lui appartiennent et doivent tenir compte du niveau de risque posé par l’appareil. En d’autres termes, les étapes qu’un fabricant doit suivre pour une caméra de sécurité dans une banque sont plus rigoureuses que celles requises pour un babyphone, même si le résultat peut être considéré comme le même. L’article auquel je viens de faire référence aborde cette idée plus en détail.
Le fabricant doit également tenir compte de l'environnement dans lequel l'appareil sera utilisé. Une centrale nucléaire est par nature beaucoup plus risquée que la véranda d'une maison, même si la même caméra de sécurité peut être utilisée dans les deux endroits. Évidemment, les mesures de sécurité prises seront beaucoup plus strictes dans la centrale nucléaire, même si l'appareil protégé est exactement le même que celui qui se trouve sur la véranda.
La deuxième partie du document de février du NIST décrit le fonctionnement du programme d'étiquetage des appareils. Elle énumère trois types d'étiquettes possibles :
1. Informatif, qui n'est pas basé sur une évaluation, mais fournit simplement des informations sur les mesures de sécurité prises pour l'appareil (par exemple, l'étiquette allemande référencée ci-dessus)
2. Échelonné, il existe plusieurs niveaux d'évaluation du produit. Le niveau atteint par le produit est indiqué sur l'étiquette.
3. Binaire, qui est essentiellement une désignation « réussite/échec ». Le NIST a indiqué dans le document qu'il préférait ce type d'étiquette. Energy Star fournit une étiquette binaire.
Dans mon article de décembre, j'ai indiqué que, même si je n'ai pas de problème avec une étiquette binaire en soi, j'ai un problème avec le fait d'essayer de combiner une étiquette binaire avec des critères basés sur les résultats. La raison est simple : les critères basés sur les résultats obligent l'organisation à adapter sa conformité aux critères en fonction du degré de risque posé par l'appareil (et également par l'environnement). Il appartiendra à l'évaluateur de déterminer si les mesures de conformité du fabricant étaient appropriées au risque posé par l'appareil et son emplacement.
D'un autre côté, une étiquette binaire ne permet pas de prendre en compte les risques ou autres éléments pour déterminer si l'appareil mérite ou non cette étiquette. L'évaluateur doit être en mesure de prendre une décision positive ou négative, point final. Cela n'est possible qu'avec des exigences prescriptives, et non basées sur des résultats (le billet de décembre fournit des exemples des deux types d'exigences pour illustrer ce point).
Comment ai-je recommandé au NIST de résoudre cette contradiction ? Je ne l'ai pas fait. J'ai dit que le NIST devait choisir entre des critères basés sur les résultats ou une étiquette binaire, mais qu'il ne pouvait pas avoir les deux. Comme je suis fortement favorable aux exigences basées sur les résultats (basées sur les risques) en général (et j'ai probablement écrit 50 articles sur cette idée, en faisant référence à différents aspects des normes CIP de la NERC), je ne voulais pas que le NIST les sacrifie. J'ai donc suggéré au NIST d'utiliser une étiquette informative, et non binaire.
Et qu'a fait le NIST (roulement de tambour, s'il vous plaît) ?... Le mois dernier, ils ont publié un cadre de sécurité IoT appelé NIST.IR 8425 , qui est très proche de l'ensemble des critères du document de février (les catégories de critères sont exactement les mêmes, alors que les critères de chaque catégorie diffèrent légèrement). On peut dire sans se tromper que le NIST a décidé de s'en tenir à des critères basés sur les résultats, ce qui est une bonne chose. Mais qu'est-il arrivé au programme d'étiquetage du document de février ? Le NIST s'est-il tenu à l'étiquetage binaire ?
Lorsque j'ai publié mon dernier article (sur la certification de sécurité IoT) sur LinkedIn, Dale Peterson m'a demandé dans un commentaire pourquoi je n'avais pas mentionné « l'annonce très récente du gouvernement américain selon laquelle ils définiraient l'étiquetage de sécurité IoT ». Je n'avais pas encore vu l'article sur la conférence de la Maison Blanche, j'ai donc pensé qu'il faisait référence à l'EO. Dans ma réponse, j'ai souligné le document de février et le fait que le NIST semblait avoir été retiré du secteur de l'étiquetage des appareils, puisque les critères du document de février avaient été intégrés dans leur propre NISTIR, sans aucune mention d'étiquetage.
Mais je me rends compte maintenant que Dale faisait référence à la réunion de la semaine dernière. Ma réponse aurait dû être :
Ce qui a été annoncé récemment par la Maison Blanche semble être la fin de l'idée selon laquelle le NIST pourrait gérer un programme de certification (mon dernier article concernait le programme de certification des appareils ioXt, qui n'est bien sûr pas un effort gouvernemental). Le NIST est assez bon pour rédiger des cadres de sécurité non prescriptifs, mais il a montré en décembre et février qu'il n'était pas du tout bon pour développer des programmes de certification à la hausse ou à la baisse.
Cela ne signifie pas pour autant que la Maison Blanche saura développer un programme de certification des appareils. Elle pourrait très bien commettre les mêmes erreurs que le NIST, même si elle pourrait oser innover et commettre des erreurs complètement nouvelles !
Mon conseil à la Maison Blanche (bien que je n’aie pas été sollicité, bien sûr) est le même que celui que j’ai donné au NIST (et c’était en réponse à une demande de commentaires en décembre, même si ce n’était pas une période de commentaires officielle) : si vous essayez de marier un label qui est en réalité une certification (comme le NIST voulait le faire avec son label « binaire ») avec un ensemble de directives non prescriptives (comme NIST.IR 8425), vous essayez de faire l’impossible. Vous pourriez tout aussi bien essayer de résoudre la quadrature du cercle ou d’inventer une machine à mouvement perpétuel.
Faites en sorte que l'étiquette soit informative et qu'elle fournisse des informations réelles (peut-être des attestations, comme l'étiquette allemande). Ensuite, laissez les consommateurs se faire leur propre opinion sur la sécurité du produit, en fonction de ce qu'ils lisent sur l'étiquette.
Bien sûr, certains consommateurs ne regardent même pas l'étiquette. C'est dommage, mais il ne sert à rien de prétendre que la cybersécurité n'est rien d'autre qu'un exercice de gestion des risques (il ne s'agit certainement pas d'une question de calculs scientifiques, comme Energy Star, même s'il est étonnant de voir combien de personnes pensent qu'il existe une formule qui vous mettra en sécurité). Une décision fondée sur les risques doit être prise par l'individu, point final.
Ce blog a été publié à l'origine par Tom Alrich sur le blog de Tom Alrich .