Pour gérer vos consentements :

Sécuriser l’IoT : une loi en vue aux Etats-Unis

Un texte de loi visant à imposer des standards de sécurité à tout dispositif connecté utilisé par le gouvernement américain va prochainement être examiné par le Sénat des Etats-Unis. La législation a été conçue en réponse aux cyberattaques massives de 2016, qui avaient exposé au grand jour les faiblesses structurelles de la sécurité de l’IoT. En particulier, le blocage du prestataire de DNS Dyn, avec ses conséquences sur des services majeurs de l’Internet, avait montré le potentiel destructeur des vulnérabilités de centaines de milliers de dispositifs IoT.

Le « IoT Cybersecurity Improvement Act » vise à utiliser le poids des achats du gouvernement américain pour relever le niveau de sécurité des objets connectés. En particulier, le texte va obliger les fournisseurs à s’assurer que leurs terminaux peuvent bien être patchés à distance, qu’ils ne renferment pas de mots de passe codés en dur (autrement dit non modifiables) et qu’ils ne possèdent pas de vulnérabilités connues au moment où ils sont vendus. Les agences gouvernementales se verraient également imposer un audit des objets connectés en usage dans leur périmètre respectif.

Des contraintes aussi en Europe ?

La future législation américaine devrait également faciliter le travail des chercheurs en sécurité, travaillant « de bonne foi » à la divulgation des failles. Ces derniers restaient jusqu’alors sous la menace de plusieurs textes répressifs parfois utilisés pour les intimider (en particulier le Computer Fraud and Abuse Act).

En Europe, suite à ces mêmes attaques par DDoS utilisant le détournement d’objets connectés insuffisamment sécurisés, la Commission planche sur un corpus de règles qui pourraient imposer aux constructeurs d’objets connectés de se conformer à des standards de sécurité et d’en passer par des certifications afin de garantir le respect de la vie privée des utilisateurs.

A lire aussi :

Comment transformer l’enceinte Amazon Echo en espion

Sécurité et IoT : pourquoi le pire est encore à venir

Photo : Allie_Caulfield via Visualhunt / CC BY

Recent Posts

Data et analytique : pour quel retour sur investissement ?

La croissance des revenus d'organisations dont les projets data "dépassent les attentes" est supérieure de…

16 heures ago

Mobile et systèmes industriels : les chantiers du framework ATT@CK

Passé en v11, le framework MITRE ATT@CK renforce sa matrice Mobile. Il en sera de…

17 heures ago

Cybersécurité : Thales s’offre S21sec et Excellium pour 120 M€

L'acquisition vient renforcer l’offre de Thales dans le conseil, l'intégration et les services managés de…

21 heures ago

Transition numérique : une solide croissance à deux chiffres

Les investissements mondiaux dans les technologies et services de transformation numérique progresseraient de plus de…

2 jours ago

Classement Forbes : 20 milliardaires de la Tech

De Jeff Bezos (Amazon) à David Duffield (Workday), voici la liste Forbes des 20 personnalités…

2 jours ago

Dix pistes d’action pour sécuriser l’open source

Comment améliorer la sécurité de l'open source ? Éléments de réponse avec le plan d'action…

2 jours ago