Les dernières réglementations de sécurité IoT ont-elles une portée suffisante ?

Il y a eu une vague de réglementations dans le monde entier alors que les gouvernements cherchent à aborder la sécurité de l'IoT. C'est une étape positive, indiquant que le marché arrive à maturité, mais que la régulation de l'espace IoT n'est pas sans défis. De telles mesures ont inévitablement rencontré la résistance de ceux qui suggèrent que cela pourrait créer des montagnes de déchets IoT, à d'autres qui disent que cela pourrait entraver l'innovation.

Par conséquent, chaque loi est légèrement différente. Mais la façon dont ces réglementations vont façonner l'évolution de la réglementation à venir, il est important que nous examinions les mesures prises, où elles excellent et où elles échouent, explique Ken Munro, partenaire, Pen Test Partners.

1. Loi de 2017 sur l'amélioration de la cybersécurité de l'IoT (États-Unis) :  Visant à contrôler l'IoT au sein du gouvernement américain, l'IoT Cybersecurity Improvement Act pourrait avoir de profondes implications pour le développement de l'IoT. Les appareils ne doivent pas présenter de failles de sécurité connues dans la base de données NIST, doivent prendre en charge les mises à jour, doivent utiliser des informations d'identification fixes ou codées en dur pour l'administration à distance, les mises à jour et la communication, et les vulnérabilités doivent être divulguées et réparées. Cependant, en limitant les failles au NIST, des problèmes courants non répertoriés, tels que l'injection SQL dans les applications clientes, pourraient être négligés. Il omet également de reconnaître que de nombreux protocoles RF sont conçus pour n'utiliser aucune information d'identification, de sorte que ces appareils devraient être supprimés ou mis à niveau pour prendre en charge un protocole sans fil plus strict. La loi n'a pas encore été adoptée et d'autres sur la table incluent la loi Smart IoT, la loi DIGIT, la loi Security IoT, la loi Cyber ​​Shield et la loi IoT Consumer TIPS.
2. Loi sur la cybersécurité (UE) :  À compter de mai 2018, la législation verra l'Agence de l'Union européenne pour la sécurité des réseaux et de l'information (ENISA) devenir l'agence pour la cybersécurité et un cadre de certification créé pour certifier les voitures connectées et les produits intelligents dans tous les États membres de l'UE. La loi sur la cybersécurité ne sera obligatoire que pour les infrastructures nationales critiques. Les fabricants peuvent demander à ce que leurs appareils IoT soient classés dans le cadre d'un programme de certification comme « de base », « substantiel » ou « élevé », mais le système est volontaire. Afin de les séduire, les candidats au niveau « de base » peuvent « réaliser eux-mêmes les tests de conformité ». La documentation indique que l'ENISA aura le pouvoir de « émettre des avertissements ciblant les fournisseurs et les fabricants pour améliorer la sécurité », mais il n'y a aucune mention de la façon dont cela sera appliqué. Il contient des dispositions pour les plaintes, permettant aux lobbyistes et aux chercheurs en sécurité de dénoncer et de divulguer de manière responsable dans l'ensemble du syndicat.
3. SB-327 (États-Unis) :  Adopté en août 2018, le SB-327 fait de la Californie le premier État américain à réglementer les technologies intelligentes. Il impose certaines normes de sécurité de base pour les appareils grand public et entrera en vigueur à partir de janvier 2020. Cependant, le libellé est vague et fait référence à une sécurité « appropriée » qui est « conçue pour protéger ». La plupart des appareils pourraient prétendre avoir l'intention de protéger l'appareil/les données, contournant ainsi les exigences. Il rend les mots de passe uniques obligatoires mais ne résout pas le problème de savoir s'il existe une bonne source d'entropie sur l'appareil. Les détaillants sont également décrochés, ce qui pourrait voir les marchés submergés de technologies non conformes avant 2020. Il n'y a aucune exigence déclarée pour que ces appareils prennent en charge les mises à jour.
4. Code de bonnes pratiques pour la sécurité de l'IoT grand public (Royaume-Uni) :  Sur la base du projet de proposition Secure by Design lancé en mars, la CoP émise par le Digital, Culture, Media and Sport (DCMS) intègre désormais le Règlement général sur la protection des données (RGPD). Bien qu'il ait une large portée et qu'il fournisse des directives aux fabricants, aux développeurs d'applications mobiles, aux fournisseurs de services et aux détaillants, il est volontaire. La CoP stipule que les mots de passe par défaut ne doivent pas être utilisés, les informations d'identification et les données sensibles à la sécurité doivent être stockées en toute sécurité et les logiciels mis à jour. Cependant, bien qu'il recommande l'utilisation d'une politique de divulgation des vulnérabilités, il n'exige pas des fournisseurs qu'ils publient un correctif. Néanmoins, il s'agit d'un pas en avant très positif pour la sécurité de l'IoT grand public.

Ce qui est clair, c'est que les autorités sont très favorables à une approche douce, douce qui soulève la question de savoir si ces normes seront respectées volontairement ? Les fournisseurs d'IoT subissent une pression intense pour mettre leurs produits sur le marché. Pour qu'ils adoptent toute forme de réglementation sur leur propre dos, il faudrait qu'il y ait un avantage significatif pour eux… ou des répercussions.

C'est ici que le marché lui-même pourrait exercer plus de pression. Donnez aux consommateurs le droit de retourner des biens intelligents vulnérables contre crédit en l'inscrivant dans la législation sur les normes commerciales. Encourager le secteur de la vente au détail à s'engager à ne pas stocker d'appareils vulnérables. Les fabricants seraient alors plus incités à capituler, à adhérer à des schémas de classification et à soumettre leurs appareils à des tests.

À l'heure actuelle, il est trop tôt pour dire à quel point l'autorégulation sera efficace. Nous devons laisser tomber la législation et donner à l'industrie la possibilité de s'adapter à ce qui pourrait être un moment charnière pour l'IoT. Ce n'est qu'alors que nous pourrons évaluer où nous devons appliquer des mesures plus punitives.

L'auteur de ce blog est Ken Munro, partenaire, Pen Test Partners. Il informe régulièrement les départements gouvernementaux du Royaume-Uni et des États-Unis et participe à  divers conseils des consommateurs de l'UE sur la réglementation de l'IoT.