Paysage de la cybersécurité des objets connectés en 2024

En 2022, les objets connectés ont fait face à plus de 112 millions d'attaques cybernétiques, contre 32 millions en 2018. La croissance rapide des technologies IoT s'accompagne de menaces cybernétiques. En conséquence, plusieurs pays et régions introduisent des réglementations spécifiques pour assurer la cybersécurité des objets connectés et des données précieuses. Examinons quelques exemples, notamment l'UE, les États-Unis, le Royaume-Uni et Singapour, et leur impact sur les entreprises et les consommateurs, ainsi que la relation entre les mises à jour des logiciels et des micrologiciels dans la sécurité des projets IoT.

L'Union européenne et les réglementations IoT

Le Règlement général sur la protection des données (RGPD)

Le RGPD a été introduit le 25 mai 2018. Il établit une norme spécifique pour la sécurité des données dans l'Union européenne et en Grande-Bretagne, en mettant l'accent sur la protection de la vie privée des données. Le RGPD exige que les organisations sécurisent les données personnelles collectées par les dispositifs IoT, mettent en œuvre la protection des données dès la conception et garantissent les droits des personnes concernées. Il prévoit des sanctions strictes en cas de non-conformité, servant de modèle pour de nombreux objectifs de protection dans le monde entier.

L'Acte sur la cybersécurité L'Acte sur la cybersécurité, en vigueur depuis le 27 juin 2019, établit un cadre pour la certification de la cybersécurité des produits et services TIC au sein de l'Union européenne. L'objectif est de réduire les risques d'attaques cybernétiques visant les IoT en imposant des normes de sécurité plus élevées et en assurant la transparence sur les niveaux de sécurité des produits certifiés. L'Agence de l'Union européenne pour la cybersécurité (ENISA) joue un rôle important dans la protection des objets connectés en matière de cybersécurité, en offrant des ressources et un soutien aux États membres et aux entreprises.

L'Acte sur la résilience cybernétique L'Acte sur la résilience cybernétique (CRA) est une nouvelle loi européenne qui se concentre sur la sécurité des appareils numériques, y compris les moniteurs pour bébés et les montres connectées. Le CRA aborde principalement deux problèmes : le manque de fonctionnalités de sécurité appropriées ou de mises à jour, ainsi que les difficultés à savoir si un produit est sécurisé. Par conséquent, la nouvelle réglementation peut :

  • Établir des règles cohérentes dans toute l'UE pour la vente de dispositifs avec composants numériques.

  • Définir des exigences de cybersécurité obligatoires pour les fabricants et les détaillants d'objets connectés.

  • Exiger des fabricants qu'ils accordent la priorité à la sécurité tout au long du processus de conception et de production.

La Directive NIS et NIS2 La directive NIS originale visait à atteindre un niveau élevé de cybersécurité pour les infrastructures critiques et les services essentiels. La directive NIS2, entrée en vigueur en janvier 2023, élargit le champ d'application pour inclure davantage de secteurs et d'entités, harmonisant les mesures de cybersécurité à travers les États membres. Cela est réalisé grâce à plusieurs mesures clés :

  • Les régions de l'UE doivent mettre en place des ressources dédiées en cybersécurité, telles qu'une équipe d'intervention en cas d'incident de sécurité informatique (CSIRT) et une autorité nationale compétente.

  • Des groupes de coopération favorisent l'échange d'informations et la coopération stratégique entre les États membres.

  • La directive cible des secteurs critiques tels que l'électricité, le transport et la logistique, qui dépendent beaucoup des technologies de l'information et de la communication (TIC). Les fournisseurs de services dans ces secteurs doivent mettre en œuvre des mesures de sécurité spécifiques et signaler les problèmes aux autorités nationales. De plus, les fournisseurs de services numériques, tels que les moteurs de recherche et les services cloud, doivent également se conformer aux exigences de sécurité et de notification de la directive.

Les États-Unis et la sécurité des objets connectés

L'Acte d'amélioration de la cybersécurité des objets connectés de 2020

Signé en loi le 4 décembre 2020, cet acte exige que les appareils IoT acquis par le gouvernement fédéral respectent des normes minimales de cybersécurité établies par le National Institute of Standards and Technology (NIST). Ces normes incluent les publications spéciales du NIST 800-53, visant le contrôle des systèmes d'information, y compris le contrôle d'accès, la réponse aux incidents et la protection du système, et le 800-183, qui se concentre sur les considérations de sécurité et de confidentialité pour les dispositifs IoT. L'acte précise que les dispositifs IoT doivent avoir des identifiants uniques, une authentification robuste (gestion des identités), un chiffrement fort pour les données au repos et en transit (protection des données), des procédures pour des mises à jour sécurisées et opportunes (gestion des correctifs), et des configurations sécurisées (gestion de la configuration).

Ordre exécutif 14028 L'Ordre exécutif 14028 vise à aider le gouvernement américain et le secteur privé à renforcer la sécurité face aux menaces cybernétiques. Ce cadre établi clarifie comment améliorer la cybersécurité des IoT en Amérique et propose des solutions. Par exemple, l'OE 14028 exige des organisations qu'elles mettent en place trois mesures telles que l'analyse du code des applications, la création d'une liste de composants logiciels (SBOM) et la sécurisation du processus de développement.

Loi californienne sur la sécurité des IoT (SB-327) Entrée en vigueur le 1er janvier 2020, cette loi impose aux fabricants de dispositifs IoT de mettre en place des fonctionnalités de sécurité raisonnables adaptées à la fonction du dispositif, aux données collectées et transférées ; elle est conçue pour protéger les données et le matériel contre tout accès, destruction ou divulgation non autorisés. La SB-327 définit les dispositifs IoT comme tout objet capable de se connecter à Internet, y compris les appareils domestiques tels que les thermostats intelligents et les appareils portables. Les fabricants vendant en Californie doivent se conformer aux dispositions de la loi, garantissant que les dispositifs respectent les normes de sécurité. Le non-respect peut entraîner des actions de mise en application par le procureur général de la Californie ou les procureurs de district locaux.

Lois sur la confidentialité des États Plusieurs États, comme la Californie et New York, ont introduit leurs propres lois sur la confidentialité des données. Le California Consumer Privacy Act (CCPA) et le California Privacy Rights Act (CPRA) renforcent les droits à la vie privée et la sécurité des consommateurs en leur donnant des droits de savoir, de suppression et de refus de la collecte de données, ainsi qu'en introduisant des mesures de sécurité pour les données sensibles. L'acte SHIELD de New York implique des programmes de cybersécurité IoT pour les entreprises traitant les données des résidents de New York.


Royaume-Uni : Alignement avec les Normes Mondiales 

La Loi sur la Sécurité des produits et l'Infrastructure des Télécommunications (PSTI)

Récemment introduite au Royaume-Uni, la PSTI impose de nouveaux requis de sécurité pour les appareils connectés, y compris les dispositifs IoT tels que les enceintes intelligentes, les appareils connectés et certains produits informatiques. Elle met également à jour les réglementations concernant l'infrastructure des télécommunications au Royaume-Uni. La loi se divise en deux parties principales : 1) des dispositions pour les appareils connectés et 2) des amendements au Code des Communications Électroniques du Royaume-Uni. Selon la loi, les fabricants de dispositifs IoT doivent fournir des informations claires sur les périodes de support, assurant ainsi que les consommateurs soient informés de la durée des mises à jour de sécurité et du support technique pour leurs appareils. De plus, la loi PSTI impose aux fabricants de mettre en place des procédures robustes pour signaler les problèmes de sécurité, facilitant ainsi des réponses rapides aux vulnérabilités et améliorant l'écosystème global de cybersécurité pour les IoT.

Singapour & la Sécurité IoT en Asie-Pacifique Le Système d'Étiquetage de la Cybersécurité (CLS)

L'Agence de Sécurité Cybernétique de Singapour (CSA) a introduit le Système d'Étiquetage de la Cybersécurité (CLS) pour les dispositifs connectés des consommateurs afin d'améliorer les pratiques de cybersécurité. Ce système évalue les appareils intelligents selon leurs niveaux de cybersécurité, fournissant ainsi aux consommateurs des informations sur les capacités de sécurité des produits avant l'achat. De plus, le CLS aide les fabricants à se démarquer sur le marché en développant des dispositifs et des solutions mieux protégés. Le CLS inclut des accords de reconnaissance mutuelle avec :

  • La Finlande : un Mémorandum d'Entente (MoU) facilite la reconnaissance mutuelle des étiquettes de cybersécurité entre Singapour et la Finlande.

  • L'Allemagne : un Accord de Reconnaissance Mutuelle (MRA) assure que les dispositifs certifiés sous le Label de Sécurité IT de l'Allemagne sont reconnus par le CLS de Singapour, facilitant ainsi les processus de certification et favorisant l'accès au marché.

Exigences Réglementaires pour les Mises à Jour Logicielles

Bien que les exigences spécifiques varient d'une région à l'autre, plusieurs aspects techniques sont communs à travers les réglementations de cybersécurité :

  • Codage sécurisé : Pratiques telles que la sanitisation de la mémoire, la validation des entrées et l'utilisation de bibliothèques sécurisées.

  • Exigences cryptographiques : Les réglementations imposent souvent l'utilisation d'algorithmes cryptographiques pour renforcer le chiffrement des données.

  • Protocoles sécurisés de mise à jour : Les exigences incluent l'utilisation de protocoles HTTPS et TLS pour la livraison des mises à jour, y compris les mises à jour Over-the-Air (OTA) pour les firmwares et logiciels des dispositifs IoT.

  • Signature numérique : La signature cryptographique des mises à jour est souvent requise pour assurer l'authenticité et prévenir l'accès non autorisé lors du transfert des données.

  • Démarrage sécurisé et protection contre le retour en arrière : Certaines réglementations peuvent exiger ces fonctionnalités pour prévenir l'installation malveillante de firmwares ou la manipulation des mises à jour.

Le Rôle des Mises à Jour Over-the-Air (OTA) dans la Cybersécurité


 

Les mises à jour Over-the-Air (OTA) jouent un rôle crucial dans le maintien de la cybersécurité dans un paysage réglementaire en constante évolution. Ces mises à jour traitent les vulnérabilités, les bogues et souvent améliorent les performances. Voici comment les mises à jour OTA assurent la sécurité :

  • Correction des vulnérabilités : Les mises à jour OTA apportent des modifications au code pour corriger les vulnérabilités identifiées, réduisant ainsi le risque d'exploitation par des acteurs malveillants.

  • Mises à jour cryptographiques : Les mises à jour peuvent introduire de nouveaux algorithmes de chiffrement ou corriger les faiblesses des algorithmes existants, renforçant ainsi les mécanismes de protection des données.

  • Correction de bogues : Les mises à jour OTA peuvent résoudre les bogues logiciels, qui rendent le système plus vulnérable et instable.

Les réglementations de cybersécurité encouragent les fabricants à utiliser des méthodes efficaces et sécurisées pour les mises à jour, les incitant ainsi à prioriser les mises à jour OTA en tant qu'élément fondamental de leur approche de cybersécurité IoT. Cela garantit que les utilisateurs reçoivent les patchs de sécurité les plus récents.

Comment les Mises à Jour OTA sont Liées aux Réglementations : l'Exemple de Mendor

De nombreuses entreprises, comme Mender, peuvent aider les fournisseurs IoT à construire des écosystèmes résilients qui protègent les utilisateurs, économisent des ressources et contrôlent les projets IoT en temps réel. Découvrez comment les mises à jour OTA de Mender fonctionnent au sein des principales réglementations :

Régulation 

Exigences Clés

Comment Mender Adresse

 Cyber Resilience Act (CRA) 

 

Mises à jour de sécurité obligatoires

Priorité à la sécurité tout au long du cycle de vie


Mises à jour sécurisées avec HTTPS, TLS et signature numérique

Démarrage sécurisé et contrôle d'accès basé sur les rôles (RBAC


NIS Directive/NIS2 

 

 

Mesures de sécurité robustes pour les infrastructures critiques

Mesures de sécurité harmonisées entre les États membres

Divulgation opportune des vulnérabilités

Mises à jour sécurisées, démarrage sécurisé, RBAC

Console de gestion centralisée pour les dispositifs dispersés géographiquement

Déploiement simplifié des correctifs avec des campagnes automatisées

UK's PSTI Act 

 

UK's PSTI Act  

Mécanismes d'update sécurisésInformations claires sur les périodes de support 

Mises à jour sécurisées avec HTTPS, TLS et signature numérique

Déploiement simplifié des correctifs

California's IoT Security Law (SB-327) 

Pratiques de sécurité standardisées

Application de pratiques de codage sécurisé tout au long du cycle de vie des mises à jour

GDPR 

Contrôle de l'utilisateur sur les données

Outils de transparence pour communiquer les informations sur les mises à jour

L'IoT et la cybersécurité sont indissociables. Le nombre croissant de lois sur la cybersécurité témoigne d'un engagement mondial en faveur de pratiques sûres en matière de développement et de mise à jour des logiciels. En mettant en œuvre les garanties techniques nécessaires, les fabricants peuvent non seulement se mettre en conformité, mais aussi démontrer leur engagement à instaurer la confiance avec leurs utilisateurs dans le monde interconnecté.