Sécurité de l’IoT : l’UE cherche encore la bonne voie

IoT sécurité UE

Lors du discours sur l’état de l’Union, il a été question de cybersécurité. Où en est-on sur le volet IoT ?

Vers une réglementation européenne pour la sécurité de l’IoT ? La question n’est pas nouvelle, jusqu’au niveau des instances concernées. Mais on en reparle après un « coup de projecteur » à l’occasion du discours annuel sur l’État de l’Union.

« Si tout est connecté, tout peut être piraté », a déclaré Ursula von der Leyen. La présidente de l’UE venait d’aborder le sujet de la politique européenne de cyberdéfense. Et avait prêché la « définition de standards communs » sous l’égide d’une loi « cyber-résilience ».

Dans l’absolu, Ursula von der Leyen n’a jamais fait directement référence à l’Internet des objets. Les défenseurs d’une telle loi se sont toutefois empressés de rebondir sur ses propos. Parmi eux, Bart Groothuis, du Parti populaire pour la liberté et la démocratie (Pays-Bas), député européen et rapporteur de la directive NIS 2.

On a également réagi du côté d'Euroconsumers. Le groupement d'organisations de consommateurs (Belgique, Espagne, Italie, Portugal) a rappelé les résultats de son enquête #TheHackableHome. Dans ce cadre, il a démontré la fragilité de l'IoT domestique.

Se nourrir de l'existant...

L'UE esquisse des pistes dans sa « stratégie de cybersécurité pour la décennie numérique »*, adoptée le 16 décembre 2020. Le Conseil de l'Europe l'a adoubée en insistant - en particulier - sur le point suivant :

Conseil Europe mars 2021
« Dispositifs connectés » inclut aussi bien ceux à usage industriel que domestique (cliquer pour agrandir).

On ne part pas de rien. Parmi les pièces maîtresses, il y a le Cybersecurity Act de 2019. Le texte définit un cadre pour harmoniser les méthodes d'évaluation et les niveaux d'assurance de la certification de cybersécurité. Il accompagne les travaux de l'ENISA (Agence européenne chargée de la sécurité des réseaux et de l'information). Laquelle a déjà élaboré un socle potentiel, en l'objet de schémas applicables aux services cloud.

La Commission européenne a par ailleurs des initiatives à court terme. Entre autres, traiter l'aspect cybersécurité dans les actes juridiques. En première ligne, ceux relevant du « nouveau cadre législatif » relatif à la mise de produits sur le marché intérieur. Par exemple, la directive sur les équipements radioélectriques (2014/53/UE).

... ou le réformer pour l'IoT ?

En matière de standardisation, le Conseil européen se réfère également à la norme EN 303 645 de l'ETSI pour les objets connectés « grand public ».

En France, le Sénat avait adopté, en 2018, une résolution européenne sur la régulation de l'IoT. Elle appelait l'UE à mettre rapidement en place une certification des objets connectés incluant :

  • Capacité de désactivation sélective ou totale
  • Possibilité de mises à jour de sécurité
  • Usage de technologies cryptographiques

Bien qu'elle semble privilégier une approche européenne, la France ne part pas non plus de rien. Elle a notamment son Code de la consommation. Le Parlement a déjà suggéré de l'adapter pour « prévoir quels opérateurs de services aux personnes par l'intermédiaire d'objets connectés sont tenus de délivrer à ces personnes une information loyale, claire et transparente sur les conditions générales d'utilisation de ces services ».

* Cette stratégie englobe aussi des développements technologiques. Dont huit projets financés chacun à hauteur de 5 millions d'euros. Parmi eux :

  • SecureIoT (sécurité « prédictive » pour l'industrie 4.0, l'assistance aux personnes et les véhicules connectés/autonomes ; illustré ci-dessous)
  • ENACT DevOps (évolutivité des systèmes IoT)
  • BRAIN-IoT (collaboration des systèmes IoT)

SecureIoT IoT

Illustration principale © garrykillian - Adobe Stock