Le courant Le cadre réglementaire dans le domaine de l'IoT est faible, au mieux. Cela s'explique en partie par le fait que le secteur connaît encore des difficultés de croissance. D'un côté, la demande d'appareils connectés connaît une croissance exceptionnelle. dans les secteurs B2B et B2C. Gartner estime que d'ici 2020, 20 à 50 milliards d'appareils connectés seront utilisés régulièrement, ce qui est sans doute une estimation prudente. Le fait est que les produits IoT représentent un marché potentiel considérable pour les fabricants d'IoT.
D’un autre côté, le nombre croissant d’appareils connectés représente une menace de sécurité unique. Comme le savent bien les experts en informatique, tout ce qui est connecté à Internet constitue également une plate-forme actuelle pour les acteurs malveillants. La course est lancée pour développer des normes de confiance, de confidentialité et de sécurité de bout en bout pour une gamme de produits qui promettent de fusionner le numérique et le physique comme jamais auparavant.
En reconnaissant les risques apparents, le La Commission européenne étudie la possibilité de créer un « label de confiance » pour l'IoT afin de renforcer la sécurité de l'IoT et la protection des données personnelles de bout en bout. Cependant, l'étude des mérites d'un tel label soulève de nombreuses questions qui restent sans réponse.
Qu'est-ce qu'un label de confiance ?
Un label de confiance est une marque censée « fournir aux consommateurs de produits IoT des informations sur le niveau de sécurité et de confidentialité des produits. Un tel « label de confiance » pourrait être similaire au système d'étiquetage utilisé aujourd'hui pour indiquer l'efficacité énergétique de divers appareils dans l'UE ».
Les avantages d’un label de confiance comprennent :
- Assurance de sécurité : des normes de sécurité seraient définies et les fabricants de matériel devraient s'y conformer. Cela renforcerait la confiance des utilisateurs dans les produits qu'ils utilisent et favoriserait la sécurité des produits IoT dans leur ensemble.
- Transparence : les consommateurs auraient une idée du niveau de sécurité et de confidentialité auquel ils peuvent s'attendre pour chaque produit. En offrant aux consommateurs davantage d'informations, ils pourront faire des choix plus éclairés et, à terme, renforcer le marché de l'IoT.
- La surveillance peut être évitée : une analyse minimale des fonctions de sécurité au sein de chaque système serait nécessaire. L'alternative consiste pour les fabricants à collecter les données comportementales de chaque utilisateur afin d'atténuer les risques.
Malgré ces avantages évidents – et la tendance apparente vers une normalisation minimale actuellement en cours – la mise en œuvre d’un label de confiance comporte des inconvénients évidents.
L’établissement de normes monolithiques freinerait l’industrie
La cybersécurité n’est pas statique, ni facile à prescrire. Les acteurs malveillants adaptent en permanence leur approche pour saper les innovations réalisées en matière de capacité matérielle, d’intégrité du réseau, de traitement des données et de connectivité. Chaque marché a ses propres défis, et les solutions ne sont jamais évidentes dès le départ. La mise en œuvre d’un label de confiance risque de simplifier à outrance les cybermenaces pour les consommateurs en leur donnant un faux sentiment de sécurité dans des produits qui peuvent porter un label, mais qui ne sont plus équipés pour offrir une protection à l’utilisateur final.
Pour répondre efficacement à ces préoccupations, un label de confiance doit être :
- Favorable à l'innovation
- Flexible dans son approche
- Délivrer un message simple mais crédible
- Applicable à différents niveaux de confidentialité et de sécurité (y compris les chipsets, les systèmes d'exploitation, les appareils connectés et la compatibilité cloud)
- Conçu sur la base d'une collaboration avec le gouvernement et l'industrie
Relever des défis uniques dans chaque secteur
Un autre défi inhérent à la définition d’un label de confiance dans le domaine de l’IoT est le fait que peu, voire aucune, norme objective n’est élaborée. Chaque secteur a ses problèmes, tant du point de vue du matériel que de celui de l’utilisateur final, et les labels de confiance doivent refléter ces différences.
Afin de jeter les bases d’une discussion plus approfondie dans le secteur des applications de santé, la Federal Trade Commission américaine a présenté une liste de bonnes pratiques pour informer les développeurs et les entreprises qui cherchent à améliorer leur stratégie de sécurité des données. Cette liste soulève des questions essentielles sur l’authentification et le tri des données, ainsi que de nouvelles solutions proposées.
Pour que les labels de confiance gagnent du terrain dans les interactions B2B ou B2C, des guides de bonnes pratiques similaires à celui publié par la FTC doivent être élaborés.
Conclusion