Digital.security, premier CERT (Computer Emergency Response Team) européen pour la sécurité des objets connectés, lance ce jour un programme de labellisation baptisé “IoT Qualified as Secured” (IQS), pour les acteurs de l’Internet des objets (IoT) désireux de faire vérifier par un tiers indépendant la sécurité de leurs solutions IoT.... Pensé pour les utilisateurs, ce label permet aux acteurs de l’IoT de vérifier la sécurité d'une solution mettant en œuvre des objets connectés.
Matérialisé par le pictogramme IQS, ce label se veut être également un indicateur fiable et indépendant ainsi qu'un gage de sécurité pour les futurs acquéreurs ou usagers, entreprises comme particuliers. Le label IQS repose sur un référentiel intégrant à la fois les standards nationaux et internationaux de sécurité, les bonnes pratiques dites “d’hygiène de sécurité” et les exigences issues du retour d'expérience de digital.security.
Deux niveaux de labellisation sont délivrés, standard et avancé. Le label est délivré pour une durée de deux ans aux solutions IoT (objets et services associés) respectant un ensemble d’exigences de sécurité publiées (entre 25 et 30 selon le niveau de labellisation).
La volonté de digital.security est de couvrir de façon objective et mesurable la grande majorité des exigences requises dans les pays de l’Union européenne. La logique de millésime du label permet donc de le faire évoluer au rythme de la mise en place des règlements et des standards européens afin de permettre à tout acteur IoT d’inscrire sa démarche sécurité dans la durée.
Quant au processus de labellisation, il s’appuie sur un comité de labellisation composé d’experts en cybersécurité indépendants de digital.security, qui confronte le rapport d’évaluation anonymisé au référentiel retenu pour accorder le certificat de labellisation. Ce référentiel d’exigences de sécurité adapté à l’IoT est le fruit des standards et des bonnes pratiques communément admises pour sécuriser les systèmes d‘information (SI), complété du retour d’expérience des audits IoT réalisés par digital.security. Il couvre les thématiques suivantes : protection des échanges de données (PED), protection des socles techniques (PST), protection de l’accès aux données (PAD) et traçabilité (TRA). A noter que c’est l’ensemble des composants de la solution IoT candidate au label qui sont soumis au référentiel : les objets connectés, les protocoles de communication, les serveurs accessibles sur Internet et les applications fournies aux utilisateurs.
D’un point de vue plus technologique, le cœur d’IQS est constitué d’une plate-forme d’évaluation de la sécurité des objets connectés - appelée EvalUbik - qui est un banc de test permettant de mettre un objet connecté en condition d'utilisation paramétrable et contrôlée.
« Dans un marché mondial qui privilégie le time-to-market à un développement maîtrisé, il était essentiel pour nous de créer le premier label de référence sur la sécurité des objets connectés qui révolutionnent la façon dont les agents économiques et sociaux interagissent, déclare Jean-Claude Tapia, président de digital.security. Avec le lancement du label IQS, notre objectif, en tant que centre CERT IoT, est d’accompagner durablement cette révolution numérique. »
Digital.security emploie 250 consultants et experts dotés de multiples certifications. Ses prestations couvrent les domaines de l’audit, du conseil, de la formation, de l’intégration et de l’exploitation des solutions de sécurité. Il regroupe des savoir-faire spécifiques (radiofréquences, électronique, SoC, IAM, DLP, PKI...), et est doté d’un laboratoire IoT permettant l’évaluation de solutions connectées avec délivrance d’un label à la clé.
Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC
