Avec un nombre croissant d’appareils à travers le monde connectés à Internet, la sécurité des appareils IoT devient une préoccupation majeure.
C'est précisément pour cette raison que nous avons souhaité mettre en lumière la norme de l'Institut européen des normes de télécommunications ( ETSI ) sur la manière dont les produits intelligents doivent être sécurisés. Ce travail a été réalisé en coopération avec le CEN/CENELEC JTC 13 (Cybersécurité et protection des données)
La norme ETSI sur la sécurité des objets connectés grand public
De nombreux appareils IoT non sécurisés, comme les ampoules intelligentes, les caméras IP, les serrures intelligentes ou même les babyphones, se connectent via une application intelligente sur un appareil mobile. Même s'ils ne sont pas directement connectés à d'autres appareils que vous utilisez chez vous, le fait qu'ils soient sur le même réseau peut constituer un point d'entrée facile pour un pirate informatique qui tente de prendre pied sur votre réseau.
Les exigences de sécurité énumérées ci-dessous sont définies dans la norme EN 303 645 de l'ETSI. Elle rassemble les bonnes pratiques largement reconnues en matière de sécurité des appareils grand public connectés à Internet dans un ensemble de dispositions de haut niveau axées sur les résultats. L'objectif principal est d'aider toutes les parties impliquées dans le développement et la fabrication de l'IoT grand public en leur fournissant des conseils sur la sécurisation de leurs produits.
- Mises à jour régulières du logiciel
Aucun appareil ne peut être sûr sans des mises à jour régulières de son logiciel. Il en va de même pour les appareils IoT. Il est également essentiel de fournir des mécanismes de mise à jour sécurisés qui ne permettent pas aux cybercriminels d'utiliser le système de mise à jour à mauvais escient pour installer des logiciels malveillants et d'autres programmes nuisibles sur les appareils IoT des utilisateurs.
- Intégrité du logiciel
Les logiciels des appareils IoT doivent être vérifiés à l’aide de mécanismes de démarrage sécurisés, comme une racine matérielle de confiance, la source de toute confiance cryptographique au sein d’un système.
- Pas de mots de passe ni d'informations d'identification universels et par défaut
Tous les mots de passe des appareils IoT doivent être uniques. De plus, ils ne doivent pas contenir d'option de réinitialisation d'usine universelle qui fournit un mot de passe par défaut. Le fait que les appareils IoT disposent d'identifiants d'utilisateur par défaut qui ne varient pas d'un appareil à l'autre constitue un problème majeur pour la cybersécurité de l'IoT. Il est essentiel de suivre les meilleures pratiques en matière de mots de passe.
- Stockage sécurisé des informations d'identification et autres données sensibles
Outre les mots de passe uniques, les identifiants et autres données sensibles doivent être stockés de manière sécurisée sur les appareils et services IoT. Cela signifie également qu'aucun identifiant codé en dur ne peut être utilisé.
- Les données personnelles doivent être protégées
Le RGPD et toutes les autres lois pertinentes sur les données doivent être respectés, ce qui signifie que les consommateurs doivent être correctement informés sur la manière dont les appareils IoT gèrent leurs données.
- Option utilisateur pour la suppression des données personnelles
Les consommateurs qui achètent un appareil IoT doivent disposer d'un moyen de supprimer les données personnelles de l'appareil. Des instructions claires et une confirmation de suppression des données doivent également exister.
- Validation de la saisie des données
Les données d’entrée doivent être validées, car les cybercriminels tentent souvent d’exploiter les systèmes via des données non validées.
- Les données de télémétrie doivent être examinées
Si un appareil IoT envoie des données de télémétrie telles que des données d'utilisation et de mesure, il doit être automatiquement examiné pour détecter d'éventuelles anomalies de sécurité. Toutefois, les utilisateurs doivent en être informés.
- Minimiser les surfaces d’attaque possibles
Comme c'est le cas pour tous les systèmes de sécurité, le principe du « moindre privilège » doit également être utilisé dans l'IoT. Cela signifie que toutes les interfaces inutiles doivent être fermées et que toutes les méthodes approuvées pour minimiser les surfaces d'attaque possibles doivent être mises en œuvre.
- Une méthode simple pour gérer les rapports sur les vulnérabilités
Les entreprises qui produisent des appareils et des services IoT doivent disposer d'une politique claire de divulgation des vulnérabilités, qui comprend un point de contact public. Cela permettra aux chercheurs en sécurité et à d'autres acteurs de signaler facilement les problèmes de vulnérabilité.
- Communication sécurisée
Pour que la communication soit protégée dans l’écosystème IoT, les meilleures pratiques de cryptographie doivent être utilisées.
- Les systèmes doivent être résilients aux pannes de courant et de données
Chaque appareil IoT doit disposer d'une résilience intégrée qui le protégera des pannes de données ou d'alimentation imprévues. L'appareil doit rester en fonctionnement le plus longtemps possible. Il doit ensuite être capable de se restaurer complètement lorsque les données ou l'alimentation sont rétablies.
- L'installation et la maintenance des appareils IoT doivent être faciles
Les fabricants doivent veiller à réduire au minimum le nombre d'étapes nécessaires à l'installation et à la maintenance de leurs appareils. Les consommateurs doivent être guidés tout au long de ces processus.
Vous avez des problèmes de confiance ... ? Obtenez d'abord une certification !
Cependant, peu de consommateurs de produits IoT sont conscients des problèmes de confiance liés à l'IoT. C'est inquiétant, car ils sont nombreux, la plupart découlant des caractéristiques inhérentes à la technologie. Voici quelques-uns des problèmes de confiance les plus importants liés aux produits IoT .
La loi sur la cybersécurité de l’UE vise à améliorer la cyber-résilience et la réponse de l’UE, en plus de renforcer le niveau de confiance en offrant des informations de manière transparente sur le niveau de sécurité des produits de consommation.
Une augmentation de la confiance peut être facilitée par une certification à l’échelle de l’Union prévoyant des exigences de cybersécurité et des critères d’évaluation communs à tous les marchés et secteurs nationaux.
Le cadre de certification de cybersécurité de l'UE permettra aux fabricants et aux développeurs de servir plus facilement le marché de l'UE. Un cadre de certification unifié dans toute l'UE réduira les effets d'un marché fragmenté sur l'économie en ligne.
Eurosmart a développé le tout premier système de certification conforme à la loi européenne sur la cybersécurité dans le but de protéger le consommateur en définissant un système de certification de niveau d'assurance de sécurité de base et substantiel pour les appareils IoT.
Au niveau de l'assurance de sécurité de base, le système de certification de sécurité Eurosmart IoT fournit un profil de sécurité entièrement basé sur la norme EN 303 645 permettant aux CAB prenant en charge la phase pilote (répertoriés sur le site Web) d'émettre des certificats pour les appareils IoT grand public.
Le label Eurosmart peut être attribué si les appareils répondent aux exigences de sécurité et aux activités d'assurance de sécurité définies dans le profil de sécurité, qui sont basés sur la norme EN 303 645.
Eurosmart confirme ainsi son soutien à la mission de l'ENISA visant à construire un environnement consommateur cyber-résilient dans l'UE.