En septembre 2020, la Chambre des représentants a adopté un projet de loi exigeant que tous les appareils gouvernementaux de l’Internet des objets (IoT) répondent à des exigences minimales de sécurité. Naturellement, avec tout interconnecté, il est indispensable d’améliorer la sécurité des réseaux utilisés pour le partage d’informations. Plusieurs rapports ont indiqué qu’environ 98 % du trafic provenant des appareils IoT n’est pas chiffré à ce jour, et ce chiffre devrait évidemment être proche de zéro. La sécurité est d’une importance impérative pour les services sur lesquels nous prévoyons de compter dans les années à venir.
La loi HR1668 de 2020 sur l'amélioration de la cybersécurité des objets connectés a le potentiel d'améliorer la sécurité des appareils IoT. Cette nouvelle loi :
1. Exige que le National Institute of Standards and Technology (NIST) émette des normes et des lignes directrices pour l’utilisation des appareils IoT contrôlés ou détenus par des agences fédérales ;
2. Demande au NIST de prendre en compte les normes, les lignes directrices et les meilleures pratiques pertinentes créées par le secteur privé, les agences et les partenaires public-privé ;
3. Charge le Bureau de la gestion et du budget (OMB) de publier des lignes directrices pour chaque agence qui soient conformes aux recommandations du NIST, y compris la mise à jour du règlement sur les acquisitions fédérales ;
4. Charge le NIST de collaborer avec des experts du secteur, des chercheurs en cybersécurité et le Département de la sécurité intérieure (DHS) pour publier des lignes directrices sur la vulnérabilité de sécurité relative aux systèmes d’information contrôlés ou détenus par une agence (y compris les appareils IoT contrôlés ou détenus par une agence), et la solution à cette vulnérabilité de sécurité ;
5. Exige que tous les appareils IoT appartenant au gouvernement fédéral soient conformes aux normes et directives du NIST ; et
6. Exige que l'entrepreneur se conforme aux normes et réglementations du NIST et que les agences déterminent cette conformité avant d'attribuer un contrat pour obtenir un appareil IoT auprès de l'entrepreneur.
7. Cette responsabilité sera exercée en travaillant en collaboration au sein et entre les agences du pouvoir exécutif, de l’industrie et du monde universitaire.
8. Conformément au projet de loi, au plus tard 90 jours après la date de promulgation de la loi sur l’amélioration de la cybersécurité de l’IoT, le directeur du NIST devra élaborer et publier des normes et des lignes directrices à l’intention du gouvernement fédéral sur l’utilisation et la gestion appropriées par les agences des appareils IoT contrôlés ou détenus par une agence et connectés à des systèmes d’information contrôlés ou détenus par une agence.
9. Au plus tard cinq ans après la date à laquelle le directeur de l’Institut publie les normes et les lignes directrices, et au moins une fois tous les cinq ans par la suite, le directeur de l’Institut devra examiner et réviser les normes et les lignes directrices selon les besoins.
10. Une fois les normes et les lignes directrices révisées, le directeur de l'OMB, en consultation avec le directeur de l'Agence de cybersécurité et de sécurité des infrastructures du ministère de la Sécurité intérieure, mettra à jour toute politique ou principe si nécessaire pour garantir que ces politiques et principes sont cohérents avec l'examen et toute révision.
Conclusion
L’importance de cette nouvelle loi ne saurait être surestimée du point de vue de la cybersécurité. Les vulnérabilités de l’IoT constituent une cybermenace notoire qui conduit souvent à des violations de données ou à des attaques par déni de service.
Enfin, non seulement la « conformité » à la norme NIST 8259 va devenir le « gardien » des ventes d’appareils IoT au gouvernement fédéral, mais elle deviendra également importante pour les ventes au secteur privé. Pour de nombreux utilisateurs (en particulier les particuliers ou les petites entreprises), cela n’aura aucune importance. Mais les plus grandes entreprises (qui sont beaucoup plus habituées à gérer les réglementations et ont beaucoup plus à perdre si elles sont touchées par une cyberattaque) demanderont très probablement à chaque fournisseur d’appareils IoT de se conformer à la norme 8259.
Si vous souhaitez en savoir plus sur la sécurité de l'IoT et les réglementations associées, contactez des experts spécialisés .