la loi sur la sécurité de l'IoT exige des normes

Pour de nombreuses équipes de développement IoT, la sécurité reste un élément de liste de souhaits considéré comme ne valant pas le coût et les efforts nécessaires à la mise en œuvre dans un produit de consommation. Les consommateurs ne semblent pas disposés à payer un supplément pour des fonctionnalités de cybersécurité améliorées ou pour éviter les produits dépourvus de telles fonctionnalités. Cependant, les activités législatives commencent à faire de la sécurité une exigence légale pour les conceptions IoT grand public.

S'exprimant lors du sommet sur la sécurité de l'IoT d'IoT World Today, la responsable du programme de l'Institut national américain des normes et de la technologie (NIST), Katerina Megas, a souligné que la législation exigeant que les appareils IoT intègrent la sécurité est déjà en vigueur dans certains États et est en train d'être ajoutée à loi fédérale aussi. En janvier 2020, a noté Megas, la Californie et l'Oregon ont promulgué des lois qui obligent les fabricants d'appareils connectés de leurs États à équiper leurs appareils de « fonctions de sécurité raisonnables ». En outre, plusieurs autres États – dont l'Illinois, le Massachusetts, New York et la Virginie – ont une législation similaire en attente ou à l'étude.

Megas a également noté que le gouvernement américain commençait à créer une législation rendant obligatoire la sécurité de l'IoT. La Chambre des représentants des États-Unis, par exemple, a introduit en mars H.R. 1668 - The Internet of Things Cybersecurity Improvement Act of 2020. La loi appelle à la création de « normes et lignes directrices pour le gouvernement fédéral sur l'utilisation et la gestion appropriées par les agences des appareils de l'Internet des objets détenus ou contrôlés par une agence et connectés aux systèmes d'information détenus ou contrôlés par une agence, y compris une sécurité minimale des informations. exigences de gestion des risques de cybersécurité associés à de tels dispositifs. Il a été adopté à la fois par la Chambre et le Sénat et a été promulgué le 4 décembre; les normes et directives doivent être publiées dans les 90 jours.

Les lois exigeant que les fonctionnalités de sécurité soient mises en œuvre dans les appareils IoT commencent maintenant à être promulguées.

Bien que H.R. 1668 ne s'applique qu'aux systèmes IoT que le gouvernement américain utilise, il marque le début des mandats de cybersécurité qui s'appliqueront finalement aux États-Unis pour les systèmes industriels et grand public également. En 2019, le Congrès a créé la Cyberspace Solarium Commission pour développer une approche stratégique permettant aux États-Unis de se défendre dans le cyberespace. Le premier rapport de cette commission contenait plus de 80 recommandations, dont plus de 50 propositions législatives pour aider à mettre en œuvre la stratégie de défense en couches de la commission. Bon nombre de ces propositions n'affectent pas seulement les systèmes du gouvernement, elles s'appliquent également aux systèmes industriels et de consommation.

Trois propositions spécifiques méritent une attention particulière de la part des équipes de développement IoT. L'un d'eux demande aux États-Unis d'adopter une loi sur la sécurité de l'IoT imposant des « mesures de sécurité raisonnables » conformément aux recommandations du NIST telles que NISTIR 8259 - Foundational Cybersecurity Activities for IoT Device Manufacturers. Une autre proposition appelle à la création d'une autorité nationale de certification et d'étiquetage en matière de cybersécurité, qui vérifiera la conformité des appareils IoT avec les exigences. En outre, cette proposition appelle cette autorité à étendre sa portée au-delà des systèmes IoT fédéraux et industriels pour englober l'électronique personnelle et grand public.

La troisième proposition digne d'attention a le potentiel de surmonter toute objection économique à la mise en œuvre de la sécurité de l'IoT dans la conception qui pourrait subsister. Cette proposition prévoit l'établissement d'une responsabilité pour les assembleurs de produits finis. S'ils sont mis en œuvre, les fabricants d'appareils IoT à vendre seront responsables des dommages si leurs appareils ne parviennent pas à se protéger contre les vulnérabilités connues. En d'autres termes, la sécurité de l'IoT deviendra une fonctionnalité « indispensable », qu'elle incite les consommateurs à dépenser plus ou non. Le risque de ne pas implémenter la sécurité sera tout simplement trop élevé.

Les « éléments de sécurité raisonnables » que réclame toute cette législation ne sont encore, pour l'instant, que vaguement définis. Dans les lois de Californie et de l'Oregon, selon Megas, la définition de « raisonnable » appelle simplement à des mesures appropriées à la fonction de l'appareil et aux informations qu'il traite, et cherche à empêcher l'accès, la divulgation, l'utilisation, la modification ou la destruction non autorisés de cette information. Des mesures spécifiques ne sont pas définies.

Ils ne le seront probablement pas non plus. Comme Megas l'a souligné dans la présentation, une philosophie directrice pour le NIST dans la recommandation de mesures de cybersécurité est qu'une taille unique ne convient pas à tous. Par conséquent, des mesures spécifiques ne sont pas encodées dans ces lois. Au lieu de cela, les efforts adoptent une approche basée sur les résultats. Les lois à venir qui exigeront des conceptions IoT pour mettre en œuvre la cybersécurité ne préciseront pas comment cela doit être fait. Cette détermination appartiendra toujours aux équipes de développement. Mais le besoin de sécurité IoT et la fonctionnalité de sa mise en œuvre sont en passe de passer du bon sens à l'exigence légale.

>> Cet article a été initialement publié le notre site frère, EDN.