Vers une réglementation européenne pour la sécurité de l’IoT ? La question n’est pas nouvelle, jusqu’au niveau des instances concernées. Mais on en reparle après un « coup de projecteur » à l’occasion du discours annuel sur l’État de l’Union.
« Si tout est connecté, tout peut être piraté », a déclaré Ursula von der Leyen. La présidente de l’UE venait d’aborder le sujet de la politique européenne de cyberdéfense. Et avait prêché la « définition de standards communs » sous l’égide d’une loi « cyber-résilience ».
Dans l’absolu, Ursula von der Leyen n’a jamais fait directement référence à l’Internet des objets. Les défenseurs d’une telle loi se sont toutefois empressés de rebondir sur ses propos. Parmi eux, Bart Groothuis, du Parti populaire pour la liberté et la démocratie (Pays-Bas), député européen et rapporteur de la directive NIS 2.
On a également réagi du côté d’Euroconsumers. Le groupement d’organisations de consommateurs (Belgique, Espagne, Italie, Portugal) a rappelé les résultats de son enquête #TheHackableHome. Dans ce cadre, il a démontré la fragilité de l’IoT domestique.
L’UE esquisse des pistes dans sa « stratégie de cybersécurité pour la décennie numérique »*, adoptée le 16 décembre 2020. Le Conseil de l’Europe l’a adoubée en insistant – en particulier – sur le point suivant :
On ne part pas de rien. Parmi les pièces maîtresses, il y a le Cybersecurity Act de 2019. Le texte définit un cadre pour harmoniser les méthodes d’évaluation et les niveaux d’assurance de la certification de cybersécurité. Il accompagne les travaux de l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information). Laquelle a déjà élaboré un socle potentiel, en l’objet de schémas applicables aux services cloud.
La Commission européenne a par ailleurs des initiatives à court terme. Entre autres, traiter l’aspect cybersécurité dans les actes juridiques. En première ligne, ceux relevant du « nouveau cadre législatif » relatif à la mise de produits sur le marché intérieur. Par exemple, la directive sur les équipements radioélectriques (2014/53/UE).
En matière de standardisation, le Conseil européen se réfère également à la norme EN 303 645 de l’ETSI pour les objets connectés « grand public ».
En France, le Sénat avait adopté, en 2018, une résolution européenne sur la régulation de l’IoT. Elle appelait l’UE à mettre rapidement en place une certification des objets connectés incluant :
Bien qu’elle semble privilégier une approche européenne, la France ne part pas non plus de rien. Elle a notamment son Code de la consommation. Le Parlement a déjà suggéré de l’adapter pour « prévoir quels opérateurs de services aux personnes par l’intermédiaire d’objets connectés sont tenus de délivrer à ces personnes une information loyale, claire et transparente sur les conditions générales d’utilisation de ces services ».
* Cette stratégie englobe aussi des développements technologiques. Dont huit projets financés chacun à hauteur de 5 millions d’euros. Parmi eux :
Illustration principale © garrykillian – Adobe Stock
Douze fournisseurs sont classés dans le dernier Magic Quadrant des infrastructures LAN.
Commvault s'offre Appranix, éditeur d'une plateforme cloud de protection et de restauration des applications.
Intel se greffe au projet OPEA OPEA (Open Enterprise Platform for AI) et y pousse…
Le Conseil d’Administration de l’Association des Utilisateurs SAP Francophones ( USF) a réélu Gianmaria Perancin…
Le secteur du transport aérien utilise des algorithmes depuis des années. Mais cette chasse gardée…
Une option de traitement par lots est arrivée sur l'API OpenAI. Voici quelques clés de…