Vers une réglementation européenne pour la sécurité de l’IoT ? La question n’est pas nouvelle, jusqu’au niveau des instances concernées. Mais on en reparle après un « coup de projecteur » à l’occasion du discours annuel sur l’État de l’Union.
« Si tout est connecté, tout peut être piraté », a déclaré Ursula von der Leyen. La présidente de l’UE venait d’aborder le sujet de la politique européenne de cyberdéfense. Et avait prêché la « définition de standards communs » sous l’égide d’une loi « cyber-résilience ».
Dans l’absolu, Ursula von der Leyen n’a jamais fait directement référence à l’Internet des objets. Les défenseurs d’une telle loi se sont toutefois empressés de rebondir sur ses propos. Parmi eux, Bart Groothuis, du Parti populaire pour la liberté et la démocratie (Pays-Bas), député européen et rapporteur de la directive NIS 2.
On a également réagi du côté d’Euroconsumers. Le groupement d’organisations de consommateurs (Belgique, Espagne, Italie, Portugal) a rappelé les résultats de son enquête #TheHackableHome. Dans ce cadre, il a démontré la fragilité de l’IoT domestique.
L’UE esquisse des pistes dans sa « stratégie de cybersécurité pour la décennie numérique »*, adoptée le 16 décembre 2020. Le Conseil de l’Europe l’a adoubée en insistant – en particulier – sur le point suivant :
On ne part pas de rien. Parmi les pièces maîtresses, il y a le Cybersecurity Act de 2019. Le texte définit un cadre pour harmoniser les méthodes d’évaluation et les niveaux d’assurance de la certification de cybersécurité. Il accompagne les travaux de l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information). Laquelle a déjà élaboré un socle potentiel, en l’objet de schémas applicables aux services cloud.
La Commission européenne a par ailleurs des initiatives à court terme. Entre autres, traiter l’aspect cybersécurité dans les actes juridiques. En première ligne, ceux relevant du « nouveau cadre législatif » relatif à la mise de produits sur le marché intérieur. Par exemple, la directive sur les équipements radioélectriques (2014/53/UE).
En matière de standardisation, le Conseil européen se réfère également à la norme EN 303 645 de l’ETSI pour les objets connectés « grand public ».
En France, le Sénat avait adopté, en 2018, une résolution européenne sur la régulation de l’IoT. Elle appelait l’UE à mettre rapidement en place une certification des objets connectés incluant :
Bien qu’elle semble privilégier une approche européenne, la France ne part pas non plus de rien. Elle a notamment son Code de la consommation. Le Parlement a déjà suggéré de l’adapter pour « prévoir quels opérateurs de services aux personnes par l’intermédiaire d’objets connectés sont tenus de délivrer à ces personnes une information loyale, claire et transparente sur les conditions générales d’utilisation de ces services ».
* Cette stratégie englobe aussi des développements technologiques. Dont huit projets financés chacun à hauteur de 5 millions d’euros. Parmi eux :
Illustration principale © garrykillian – Adobe Stock
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…
Les grands de l'IT suppriment des milliers de jobs au nom du déploiement de. Une…
Quatre ans après l’appel de Rome - un pacte présenté en 2020 par le Vatican…
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…