La norme ETSI IoT :les régulateurs en font-ils assez pour protéger les appareils IoT ?

L'annonce d'une nouvelle norme pour la sécurité de l'Internet des objets (IoT) par l'ETSI comité technique en juin 2020 était le bienvenu dans l'industrie de l'infosec. L'ETSI EN 303 645 met en place une base de sécurité pour les produits connectés à Internet et énonce 13 dispositions décrivant les mesures que les fabricants peuvent prendre pour sécuriser les appareils et assurer la conformité. Alan Grau, vice-président IoT et solutions embarquées, Sectigo rapports.

La nouvelle réglementation fait suite à une tendance croissante des législateurs et des régulateurs à prendre conscience du problème urgent de la cybersécurité dans l'Internet des objets. Après le SB-327 de Californie, entré en vigueur début 2020, et le cadre australien « Draft Code of Practice : Securing the Internet of Things for Consumers » de 2019 en Australie, il est devenu clair que les gouvernements et les organismes internationaux commençaient à s'attaquer aux défi de front.

Lorsque le Royaume-Uni a annoncé son nouveau cadre IoT en janvier 2020, cette décision a renforcé l'argument selon lequel la sécurité de l'IoT était insuffisante depuis des années, et les régulateurs étaient prêts à le modifier.

Cependant, la question demeure :ces législations et normes sont-elles suffisantes pour assurer la sécurité des appareils IoT ?

Le rôle de la législation dans la sécurisation de l'IoT

Pendant de nombreuses années, les appareils fonctionneraient dans des réseaux propriétaires fermés, sécurisés avec un périmètre défendable. Avec l'avènement d'Internet, ces systèmes sont devenus de plus en plus liés les uns aux autres via TCP/IP. Les avantages de cela ont été beaucoup discutés, les appareils IoT étant un élément central de la vie des consommateurs ainsi que des réseaux des entreprises. Et leur croissance reste imparable :la maison d'analystes IDC prédit que d'ici 2025, 41,6 milliards d'appareils IoT connectés seront utilisés.

Cependant, le consensus législatif n'a pas été en mesure de suivre cette croissance. Au fur et à mesure que le marché s'est étendu, les nouveaux fournisseurs et fabricants ont souvent réduit les prix des concurrents, afin de créer une offre de marché populaire et accessible. La réduction des coûts peut mettre rapidement des solutions sur le marché, mais beaucoup trop peu investissent suffisamment de temps et d'attention organisationnelle pour intégrer les niveaux appropriés d'authentification et de sécurité.

En l'absence d'un cadre législatif efficace pour l'IoT, les fabricants ont passé des décennies à produire des appareils avec peu ou pas de sécurité intégrée, avec souvent uniquement des informations d'identification statiques comme barrière pour les cybercriminels. À moins que la sécurité ne devienne obligatoire, les fabricants continueront de rogner au détriment de la sécurité. Seules une législation et une gouvernance approfondie peuvent garantir la mise en œuvre de la sécurité de l'IoT dès la conception, au stade de la fabrication et tout au long du cycle de vie de l'appareil.

Les petits pas vers la sécurité

D'une part, il est formidable de voir des mesures progressives prises pour sécuriser les appareils IoT. D'autre part, il est clair qu'il reste encore des changements à apporter et qu'un consensus plus large doit être atteint.

En ce qui concerne les États-Unis, par exemple, le SB-327 a défini un cadre clair permettant aux fabricants d'utiliser des outils de sécurité et d'authentification de nouvelle génération. Il s'agissait d'une étape importante, conçue pour cibler les botnets qui avaient révélé de graves insuffisances dans les pratiques de sécurité antérieures. Malheureusement, il s'agissait d'une législation isolée, spécifique à l'État de Californie et non contraignante au niveau national.

En regardant à travers l'objectif de l'ETSI EN 303 645, une conclusion similaire peut être atteinte. C'est le résultat d'une collaboration entre des personnalités de l'industrie, des universitaires et des gouvernements, et pourtant la nouvelle norme n'est ni exécutoire ni juridiquement contraignante.

Bien qu'il présente un objectif unique pour les fabricants et les parties prenantes de l'IoT, certains dans l'industrie auront encore tendance à mettre en œuvre des processus de sécurité laxistes, car c'est moins cher et souvent simplement parce qu'ils le peuvent, sans être tenus responsables.

Il est important de créer des normes avant-gardistes qui répondent au défi de la sécurité dans l'IoT, mais cela doit être complété par un programme législatif, qui garantit que les fabricants respectent un cadre de cybersécurité lors de la création d'appareils.

Pourquoi l'intégration est la meilleure

Il est clair que les gouvernements et les organismes de l'industrie doivent être plus actifs dans la création d'un consensus sur la sécurité de l'IoT, mais il y a une discussion sur les meilleures pratiques pour sécuriser ces appareils. L'importance de la sécurité intégrée et de l'authentification PKI au point de fabrication est désormais connue de tous. Avec des chaînes d'approvisionnement de plus en plus compliquées, l'accent est mis sur l'OEM pour s'assurer que l'appareil est sécurisé au moment de sa création.

Pour authentifier et chiffrer l'appareil, la PKI doit être intégrée afin qu'elle ne puisse pas être falsifiée plus loin dans la chaîne d'approvisionnement par des acteurs malveillants. Ce n'est que si le chipset est authentifié et protégé par des certificats dès la phase de fabrication de la fonderie qu'il restera sécurisé tout au long du cycle de vie de l'appareil.

Chaînes d'approvisionnement mondiales :l'heure des normes mondiales ?

L'IoT apporte une connectivité sans précédent entre les appareils, les personnes et les entreprises, mais il présente également des risques pour les réseaux domestiques et professionnels. L'énorme croissance de l'industrie a compliqué le processus de fabrication, de sorte que maintenant les appareils sont créés à travers des chaînes d'approvisionnement d'une énorme complexité et à travers les frontières internationales.

Pour relever ce défi problématique, il est temps que les législatures travaillent ensemble, pour créer un consensus mondial qui protège les appareils à chaque étape de leur cycle de vie. Ce n'est qu'ainsi que les chaînes d'approvisionnement et les produits finis resteront sécurisés et que les risques pour la propriété, la vie et la sécurité des données seront maîtrisés.

L'auteur est Alan Grau, vice-président de l'IoT et des solutions intégrées, Sectigo.