Au cours des 3-4 dernières années, le NIST a produit une quantité vertigineuse de documents d'orientation sur la sécurité de l'IoT. Ce n'est pas parce qu'ils n'arrivent pas à se décider. C'est parce que : a) le marché de l'IoT a connu des changements rapides, et b) le NIST a été chargé d'entreprendre au moins deux mandats « réglementaires » pour l'IoT (dans le cadre de la loi IoT de 2020 et du programme d'étiquetage des appareils IoT mandaté par le décret exécutif 14028), même s'il n'a jamais été un régulateur. Les mandats ont changé plusieurs fois après leur attribution ; dans les deux cas, ils ont finalement été retirés de leur champ de compétence.
Heureusement, les missions du NIST en matière d'IoT semblent désormais revenir à leur rôle traditionnel, qu'il remplit plutôt bien : développer des cadres de cybersécurité basés sur les risques, qui sont obligatoires pour le gouvernement fédéral et simplement consultatifs pour le secteur privé. Le produit final des divers documents et initiatives du NIST concernant la sécurité de l'IoT au cours des dernières années est un nouveau rapport interinstitutions : NIST.IR 8425 .
Il s'agit d'un très bon document, qui a valu la peine de nombreux documents intermédiaires, ateliers, etc. qui ont conduit à son élaboration. Ne vous laissez pas décourager par le fait qu'il soit intitulé « Profil de la ligne de base de l'IoT
« pour les produits IoT grand public ». Le terme « grand public » figure dans le titre car il s'agissait à l'origine des lignes directrices du programme d'étiquetage des appareils dans l'EO 14028, et non parce que le NISTIR ne traite que de la sécurité des appareils IoT grand public (c'est-à-dire domestiques).
L'atelier qui s'est tenu récemment à la Maison Blanche a montré que les autorités américaines avaient désormais une meilleure idée du programme d'étiquetage des appareils. Elles souhaiteraient que la FTC gère le programme, même si les critères utilisés pour attribuer l'étiquette seront presque certainement ceux du NIST - probablement le NIST.IR 8425. La FTC est un choix logique pour gérer le programme, puisqu'elle est chargée de faire respecter d'autres réglementations concernant la fiabilité des produits vendus aux États-Unis, ainsi que la véracité des déclarations faites à leur sujet par leurs fabricants.
Cette décision de la Maison Blanche a permis au NIST de prendre les directives qu'il avait publiées en février pour le programme d'étiquetage des appareils et de les transformer en son ensemble final de directives pour les produits IoT professionnels et grand public (c'est-à-dire domestiques). Le NIST a fait cela en apportant seulement des modifications mineures au document, basées en partie sur les commentaires qu'il a reçus depuis février
Le fait que la norme NISTIR 8425 soit destinée à la fois aux produits grand public et aux produits professionnels (c'est-à-dire commerciaux et industriels) est clairement indiqué au début du résumé, sur la première page. La première phrase indique que la publication « … identifie les capacités de cybersécurité généralement nécessaires pour le secteur de l'IoT grand public (c'est-à-dire les produits IoT à usage domestique ou personnel) ». Cependant, la deuxième phrase indique : « Elle peut également être un point de départ à prendre en compte par les entreprises lors de l'achat de produits IoT. »
En utilisant les mots « point de départ », le NIST laisse clairement la porte ouverte à des directives plus complètes à l’avenir, orientées vers les entreprises. Tout entrepreneur qui aspire à des directives plus complètes aujourd’hui peut toujours se référer aux NISTIR 8259A et 8259B, qui sont tous deux de bons documents et vont au-delà de ce qui est inclus dans la norme NISTIR 8425 (en fait, la plupart des directives de la norme 8425 ont été sélectionnées dans les normes 8259A et B).
Mais le choix des mots du NIST signifie que les entreprises qui souhaitent baser leur programme IoT sur un cadre reconnu (du moins, reconnu aux États-Unis) feraient bien de suivre la norme NISTIR 8425 dès maintenant, car toute nouvelle directive du NIST pour l'IoT des entreprises est susceptible de s'appuyer sur celle-ci, et non de la remplacer. Cela s'applique à la fois aux fabricants d'appareils IoT et IIoT qui conçoivent de nouveaux produits ou
renforcer la sécurité des produits existants et aux entreprises commerciales et industrielles qui recherchent des lignes directrices qu'elles peuvent utiliser pour évaluer la sécurité des appareils qu'elles achètent.
La norme NISTIR 8425 peut également être utilisée dans les entreprises commerciales et industrielles : elle sert de base à la rédaction d'un contrat. Mais faites-moi une faveur : avant d'écrire une clause contractuelle qui se lit comme suit : « Le fournisseur doit se conformer à la norme NISTIR 8425 », gardez à l'esprit que le terme « se conformer » n'a aucun sens dans ce document (et dans la plupart des autres documents du NIST).
Prenons par exemple la première exigence de la section « Protection des données » à la page 7 : « Chaque composant de produit IoT protège les données qu’il stocke par des moyens sécurisés. » Bien entendu, il existe de nombreuses façons de « protéger les données » par des moyens sécurisés. Lequel le fabricant doit-il mettre en œuvre dans l’appareil ?
Cela dépendra beaucoup de la destination de l'appareil. Si l'appareil est destiné à des établissements de nettoyage à sec, ses exigences de sécurité peuvent être beaucoup moins strictes que s'il devait être utilisé, par exemple, dans une centrale nucléaire. Un appareil destiné à une centrale nucléaire devra probablement utiliser la dernière technologie de cryptage pour sécuriser les données stockées par l'appareil, tandis qu'un appareil destiné à une centrale nucléaire devra probablement utiliser la dernière technologie de cryptage pour sécuriser les données stockées par l'appareil.
Les appareils destinés à un pressing n'ont peut-être pas besoin de cryptage. Pour eux, il suffit de demander à l'utilisateur de saisir un mot de passe lors de sa première connexion à l'appareil pour obtenir la protection nécessaire.
C'est pourquoi il ne suffira jamais de demander à un fabricant d'appareils de se « conformer » à la norme NISTIR 8425. On pourrait plutôt dire : « Le fournisseur doit être prêt à fournir la preuve qu'il a mis en œuvre un plan de gestion des risques liés aux produits basé au minimum sur les directives fournies dans la norme NISTIR 8425 » – ou quelque chose du genre. De cette façon, le fabricant sera évalué sur la manière dont il prend des mesures dans chaque domaine de capacité répertorié dans la norme NISTIR (il existe dix « capacités », dont toutes, sauf une, ont entre une et trois capacités subordonnées. La capacité « Documentation » énumère un grand nombre de capacités subordonnées, ce qui n'est pas surprenant).
Cependant, il y a une exigence qui, selon moi, devrait être respectée par tous les fabricants d'appareils, quels que soient leurs utilisateurs : ils doivent enregistrer leur appareil auprès de la base de données nationale sur les vulnérabilités (NVD) et signaler toute vulnérabilité dont ils ont connaissance, que ce soit dans le logiciel ou le micrologiciel installé sur l'appareil, comme étant trouvée dans l'appareil (même si le
Il semble que très peu de fabricants d'IoT le fassent actuellement. Pourtant, c'est le seul moyen réaliste pour les utilisateurs d'un appareil de se renseigner sur les vulnérabilités qu'il contient.
Ma raison pour laquelle je demande ceci est décrite dans la dernière section de ce Article que j'ai écrit avec Isaac Dangana de Red Alert Labs . RAL est un de mes clients qui travaille avec les fabricants d'IoT pour sécuriser leurs appareils et avec les consommateurs d'IoT pour vérifier que les appareils qu'ils achètent sont et restent sécurisés. Bien que l'article parle officiellement des SBOM pour les appareils IoT et IIoT, la nécessité de signaler les vulnérabilités de l'appareil lui-même n'a rien à voir avec les SBOM. Il est plutôt nécessaire pour que les utilisateurs d'IoT et IIoT puissent sécuriser correctement leurs appareils.
Ce blog a été publié à l'origine par Tom Alrich sur le blog de Tom Alrich .