Les téléviseurs intelligents, les thermostats connectés, les moniteurs d'énergie et les systèmes de sécurité domestique font partie des appareils de l'Internet des objets (IoT) que de nombreux foyers américains utilisent chaque jour.
les consommateurs ne se rendent pas compte que ces appareils connectés peuvent augmenter leur risque d’attaques de cybersécurité de la part d’acteurs malveillants à la recherche de vulnérabilités exploitables.
Au sein de l’UE, l’EU Cyber Resilience Act est la première législation à l’échelle de l’UE qui impose des lois sur la cybersécurité aux fabricants et aux développeurs d’appareils connectés – les rendant responsables de la sécurité des appareils IoT et fournissant aux consommateurs des mises à jour qui corrigent les vulnérabilités.
Aux États-Unis, le gouvernement souhaite sensibiliser les consommateurs américains à l’importance d’être plus conscients des menaces de sécurité qu’ils peuvent introduire dans leurs foyers et leurs bureaux en utilisant des appareils potentiellement plus dangereux. Pour protéger les Américains de « graves problèmes de sécurité nationale », l’administration Biden a annoncé qu’elle allait mettre en place un système d’étiquetage de cybersécurité pour les appareils IoT grand public. Ce système d’étiquetage, standard du secteur, vise non seulement à informer les consommateurs, mais aussi à inciter les fabricants d’appareils à rendre leurs produits plus sûrs.
À la suite d'une réunion avec le Conseil de sécurité nationale, les principaux fabricants d'appareils et les associations de produits de consommation, la Maison Blanche a annoncé l'initiative qui établira des normes de base en matière de cybersécurité qui seront supervisées par la Federal Trade Commission (FTC) et le National Institute of Standards and Technology (NIST).
La Maison Blanche prévoit de lancer un programme d'étiquetage IoT similaire au programme d'étiquetage
exploité par l'Agence de protection de l'environnement et le ministère de l'Énergie, à commencer par
les appareils considérés comme présentant le « risque le plus élevé », tels que les routeurs Wi-Fi.
Les étiquettes prendront la forme de codes-barres scannables qui, une fois scannés, permettront d'accéder à des informations telles que le cryptage des données, les politiques de mise à jour des logiciels et la correction des vulnérabilités. L'objectif est de permettre aux consommateurs d'évaluer le niveau de sécurité de l'appareil et de comparer sa sécurité avec des appareils similaires.
Au Royaume-Uni, le gouvernement a déjà présenté un projet de loi sur la sécurité de l’IoT, qui oblige les fabricants, les distributeurs et les importateurs d’appareils à maintenir la conformité avec certains contrôles de sécurité imposés par le projet de loi sur la sécurité des produits et l’infrastructure des télécommunications (PSTI).
Ces contrôles de sécurité incluent l'interdiction d'utiliser des mots de passe par défaut ou « faciles à deviner », qui sont souvent prédéfinis dans les paramètres d'usine des appareils. Une autre exigence imposée aux fabricants d'objets connectés est de tenir les clients informés de la durée pendant laquelle le produit recevra les mises à jour de sécurité. Il existe également une obligation de divulgation des vulnérabilités, qui garantit que les fabricants peuvent être contactés en privé pour être avertis des failles de sécurité, des vulnérabilités et des bugs.
On ne sait pas encore en quoi le système d’étiquetage américain de l’IoT différera des contrôles de sécurité, des programmes d’assurance et des tests de conformité du Royaume-Uni. Cependant, nous savons que l’administration Biden souhaite que le programme obtienne des labels « mondialement reconnus ». Il est donc probable qu’il couvrira des domaines tels que la configuration des produits, les mises à jour logicielles, la protection des données, la formation sur les produits, l’identification des actifs et le contrôle d’accès aux interfaces.
Les experts ont évalué les domaines spécifiques qu’un système mondial d’étiquetage des appareils IoT devrait aborder. Il s’agit notamment d’informations sur la fréquence et la durée de déploiement des correctifs par les fabricants, l’accès aux données collectées stockées sur l’appareil ou dans le cloud, la prise en charge de l’authentification multifacteur et la transparence de la génération de données.
Le gouvernement américain a pour objectif de déployer le programme d'étiquetage au printemps 2023. Pour rester
mis à jour sur l'étiquetage de la cybersécurité des produits IoT, connectez-vous à notre blog.