La réglementation britannique sur la sécurité de l'IoT encourage les consommateurs à être plus conscients

Le gouvernement britannique va de l'avant avec son projet de créer une réglementation pour les appareils IoT. Cette décision fait suite à une vaste tendance mondiale visant à tenter de verrouiller le monde en plein essor mais peu sûr de l'IoT, a déclaré Mike Nelson, vice-président de la sécurité de l'IoT chez DigiCert .

Depuis trop longtemps maintenant, les appareils de l'Internet des objets (IoT) ont été lancés sur le marché avec des vulnérabilités qui menacent d'étranges nouveaux types de catastrophes pour les utilisateurs. Des attaques qui exploitent la fonctionnalité même d'un appareil IoT - comme une voiture piratable ou une poupée qui peut être transformée en appareil de surveillance à distance - à des événements comme les attaques Mirai qui ont menacé l'infrastructure Internet à grande échelle. C'est pour ces raisons que le gouvernement britannique a intensifié ses efforts.

Le règlement vise à s'appuyer sur le code de pratique de 2018 – Secure by Design – qui offrait un certain nombre de directives aux fabricants d'appareils IoT, ainsi qu'aux consommateurs, sur la façon de créer et d'utiliser en toute sécurité des appareils IoT. Ils incluent des suggestions pour stocker en toute sécurité les informations d'identification et d'autres données de sécurité, minimiser les surfaces d'attaque exposées, garantir l'intégrité et la mise à jour continue du logiciel sur les appareils IoT ainsi que garantir une communication sécurisée vers et depuis les appareils.

Le code de pratique a ajouté qu'il était en cours de déploiement dans l'espoir que les gens s'y conformeraient, et s'ils ne le faisaient pas, le gouvernement commencerait à rendre ces directives obligatoires. Il semble que ce soit finalement arrivé et les régulateurs rendront désormais obligatoires au moins trois de ces directives.

Trois directives

Premièrement, les mots de passe IoT doivent être uniques et non réinitialisables aux paramètres d'usine par défaut, permettant ainsi à un attaquant de simplement rechercher ce mot de passe.

Deuxièmement, les fabricants doivent avoir un contact annoncé publiquement pour les divulgations de vulnérabilités, permettant aux bogues d'être signalés et corrigés à temps.

Troisièmement, les fabricants doivent indiquer clairement la durée minimale pendant laquelle l'appareil recevra les mises à jour de sécurité, afin que les consommateurs puissent planifier la déconnexion ou prendre d'autres décisions de sécurité sur cette base.

Les appareils qui s'y conforment pourront arborer fièrement un tampon qui signifie que le gouvernement approuve la sécurité de ce produit particulier. Cela peut sembler un geste simple, mais c'est un geste qui change profondément la relation entre la sécurité de l'IoT et le consommateur.

La sécurité de l'IoT laissée aux fabricants

Alors que la sécurité de l'IoT a jusqu'à présent été laissée aux fabricants, puis peut-être aux équipes de sécurité des entreprises, à réparer après coup, le programme de certification de Secure by Design place enfin ces décisions de sécurité entre les mains du consommateur. Désormais, ils peuvent prendre ces décisions avant d'introduire des appareils vulnérables et faiblement protégés dans un réseau par ailleurs sécurisé.

Maintenant que les consommateurs peuvent prendre en compte la sécurité lors de l'achat d'appareils IoT, cela peut devenir un différenciateur concurrentiel. Jusqu'à présent, les fabricants ont créé des appareils non sécurisés en grande partie parce que cela leur coûtait moins cher. Il n'y avait aucune demande du marché pour fabriquer des appareils sécurisés et pas grand-chose qui rendrait rentable pour eux de le faire.

L'étiquetage des dispositifs et l'introduction de la sécurité comme différenciateur concurrentiel pour les consommateurs obligeront les fabricants à réfléchir à la manière dont ils peuvent perdre moins et gagner plus en pensant à la sécurité dès la conception. Une fois que les consommateurs s'en soucieront, les fabricants commenceront à s'en soucier également.

Calcul effectué trop tard

C'est un calcul simple qui a été fait beaucoup trop tard. Pendant trop longtemps, l'argent a été effectivement laissé aux fabricants pour sécuriser leurs produits IoT, sans carotte ni bâton pour les faire avancer. Cela ne résoudra pas tous les problèmes de sécurité, mais c'est une réponse louable à un problème qui hante ce domaine depuis longtemps. Les gouvernements du monde entier commencent à fabriquer des bâtons, mais ce qui est intelligent avec Secure by Design et son système de certification, c'est qu'il vient aussi avec une carotte.

L'auteur est Mike Nelson, vice-président de la sécurité IoT, DigiCert

À propos de l'auteur

Mike Nelson est le vice-président de la sécurité IoT chez DigiCert, un fournisseur mondial de sécurité numérique. Dans ce rôle, Mike supervise le développement stratégique du marché de l'entreprise pour les diverses industries d'infrastructures critiques sécurisant les réseaux hautement sensibles et les appareils Internet des objets (IoT), y compris les soins de santé, les transports, les opérations industrielles et les implémentations de réseaux intelligents et de villes intelligentes. Mike consulte fréquemment des organisations, contribue à des reportages médiatiques, participe à des organismes de normalisation de l'industrie et s'exprime lors de conférences de l'industrie sur la façon dont la technologie peut être utilisée pour améliorer la cybersécurité des systèmes critiques et des personnes qui en dépendent.

Mike a passé sa carrière dans l'informatique de la santé, notamment au Department of Health and Human Services, GE Healthcare des États-Unis. , et Partenaires Leavitt – un cabinet de conseil en santé boutique. La passion de Mike pour l'industrie découle de son expérience personnelle en tant que diabétique de type 1 et de son utilisation de la technologie connectée dans son traitement.