Pour gérer vos consentements :
Categories: CloudIOT

Sécurité de l’IoT : l’UE cherche encore la bonne voie

Vers une réglementation européenne pour la sécurité de l’IoT ? La question n’est pas nouvelle, jusqu’au niveau des instances concernées. Mais on en reparle après un « coup de projecteur » à l’occasion du discours annuel sur l’État de l’Union.

« Si tout est connecté, tout peut être piraté », a déclaré Ursula von der Leyen. La présidente de l’UE venait d’aborder le sujet de la politique européenne de cyberdéfense. Et avait prêché la « définition de standards communs » sous l’égide d’une loi « cyber-résilience ».

Dans l’absolu, Ursula von der Leyen n’a jamais fait directement référence à l’Internet des objets. Les défenseurs d’une telle loi se sont toutefois empressés de rebondir sur ses propos. Parmi eux, Bart Groothuis, du Parti populaire pour la liberté et la démocratie (Pays-Bas), député européen et rapporteur de la directive NIS 2.

On a également réagi du côté d’Euroconsumers. Le groupement d’organisations de consommateurs (Belgique, Espagne, Italie, Portugal) a rappelé les résultats de son enquête #TheHackableHome. Dans ce cadre, il a démontré la fragilité de l’IoT domestique.

Se nourrir de l’existant…

L’UE esquisse des pistes dans sa « stratégie de cybersécurité pour la décennie numérique »*, adoptée le 16 décembre 2020. Le Conseil de l’Europe l’a adoubée en insistant – en particulier – sur le point suivant :

« Dispositifs connectés » inclut aussi bien ceux à usage industriel que domestique (cliquer pour agrandir).

On ne part pas de rien. Parmi les pièces maîtresses, il y a le Cybersecurity Act de 2019. Le texte définit un cadre pour harmoniser les méthodes d’évaluation et les niveaux d’assurance de la certification de cybersécurité. Il accompagne les travaux de l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information). Laquelle a déjà élaboré un socle potentiel, en l’objet de schémas applicables aux services cloud.

La Commission européenne a par ailleurs des initiatives à court terme. Entre autres, traiter l’aspect cybersécurité dans les actes juridiques. En première ligne, ceux relevant du « nouveau cadre législatif » relatif à la mise de produits sur le marché intérieur. Par exemple, la directive sur les équipements radioélectriques (2014/53/UE).

… ou le réformer pour l’IoT ?

En matière de standardisation, le Conseil européen se réfère également à la norme EN 303 645 de l’ETSI pour les objets connectés « grand public ».

En France, le Sénat avait adopté, en 2018, une résolution européenne sur la régulation de l’IoT. Elle appelait l’UE à mettre rapidement en place une certification des objets connectés incluant :

  • Capacité de désactivation sélective ou totale
  • Possibilité de mises à jour de sécurité
  • Usage de technologies cryptographiques

Bien qu’elle semble privilégier une approche européenne, la France ne part pas non plus de rien. Elle a notamment son Code de la consommation. Le Parlement a déjà suggéré de l’adapter pour « prévoir quels opérateurs de services aux personnes par l’intermédiaire d’objets connectés sont tenus de délivrer à ces personnes une information loyale, claire et transparente sur les conditions générales d’utilisation de ces services ».

* Cette stratégie englobe aussi des développements technologiques. Dont huit projets financés chacun à hauteur de 5 millions d’euros. Parmi eux :

  • SecureIoT (sécurité « prédictive » pour l’industrie 4.0, l’assistance aux personnes et les véhicules connectés/autonomes ; illustré ci-dessous)
  • ENACT DevOps (évolutivité des systèmes IoT)
  • BRAIN-IoT (collaboration des systèmes IoT)

Illustration principale © garrykillian – Adobe Stock

Recent Posts

Des Surface Pro sujettes à une faille TPM

Microsoft alerte sur une faille qui permet de faire passer pour sain un appareil qui…

5 heures ago

Capella : la nouvelle ombrelle DBaaS de Couchbase

Changement de marque pour l'offre Couchbase Cloud, qui devient Capella et gagne une option supplémentaire…

7 heures ago

Les 12 tendances Tech à suivre en 2022, selon Gartner

L'intelligence artificielle générative et la "data fabric" font partie des grandes tendances technologiques mises en…

23 heures ago

Cybersécurité : est-il efficace de multiplier les outils ?

Plus de la moitié des centres opérationnels de sécurité d'entreprises croulent sous les alertes émanant…

1 jour ago

Sauvegarde et restauration : qui sont les principaux fournisseurs ?

Qui sont les têtes d’affiche de la sauvegarde/restauration et comment se présente le marché ?…

1 jour ago

PC : le segment entreprise reste solide

Le segment entreprise du marché PC mondial est resté solide au troisième trimestre 2021, malgré…

2 jours ago