fotohansel - Fotolia
Sécurité des objets connectés : un petit pas vers la régulation aux Etats-Unis
Des sénateurs américains proposent d’imposer des règles de sécurité minimales aux objets connectés vendus aux administrations. Un premier pas pour forcer à l’adoption de bonnes pratiques.
Assurer la mise en œuvre de « standards opérationnels de cybersécurité minimum pour les appareils connectés à Internet achetés par les agences fédérales ». C’est l’objet d’une proposition de loi déposée outre-Atlantique par quatre sénateurs, démocrates et républicains, l’Internet of Things Cybersecurity Improvement Act of 2017.
Cette proposition donne six mois, après son éventuelle entrée en vigueur, pour que figurent dans chaque contrat d’achat public d’objets connectés plusieurs exigences : une certification par le fournisseur de l’absence de vulnérabilités connues, l’utilisation de mécanismes d’authentification et de vérification des mises à jour ; le recours exclusif à des protocoles non obsolètes, notamment pour le chiffrement des échanges ; l’absence d’identifiants codés en dur, notamment.
Mais les exigences vont plus loin, tenant compte du cycle de vie des appareils connectés. Ainsi, le fournisseur devra pouvoir alerter en cas de découverte de vulnérabilité, fournir des mises à jour ou remplacer/réparer l’appareil « dans des délais raisonnables » lorsqu’une simple mise à jour logicielle ne suffirait pas.
Des limites sont toutefois acceptées, notamment pour les appareils connectés aux capacités « limitées » et pour lesquels les exigences logicielles évoquées plus haut « ne seraient pas faisables ni économiquement réalistes ». Mais l’administration souhaitant tout de même faire d’acquisition de tels objets connectés devra en demander l’autorisation spéciale.
Le dépôt de cette proposition de loi survient alors qu’une idée de certification des objets de connectés semble faire son chemin en Europe. En février dernier, Andrus Ansip, vice-président de la Commission européenne, estimait notamment qu’il conviendrait de mettre en place des schémas de certification pour les objets connectés « afin de fournir un niveau minimum d’authentification sécurisée ».
Depuis, l’agence européenne pour la sécurité de l’information et des réseaux (Enisa), a exprimé sa position en faveur d’une telle démarche, après consultation d’Infineon, de NXP et de STMicroelectronics, notamment. Fin juin, Andrus Ansip a confirmé sa position à l’occasion de la conférence annuelle de Chatham House.
En fait, il ne s’agit là que d’une confirmation de ce qu’annonçait récemment Bruce Schneier. S’exprimant à l’occasion de l’événement Infosecurity Europe 2017, début juin à Londres, l’expert, directeur technique d’IBM Resilient, estimait ainsi que « la réglementation arrive, avec force ».