Cybersécurité des objets connectés : l’Etsi publie un premier référentiel de base, nécessaire mais pas suffisant

Etsi-IoT

Jouets et babyphones, détecteurs de fumée, serrures de porte, caméras intelligentes, téléviseurs et enceintes, dispositifs de suivi de santé portés sur soi, systèmes domotiques, alarmes, appareils électroménagers, assistants intelligents… Autant d’équipements à usage grand public de plus en plus connectés à Internet. ...Dans ces conditions, les problèmes de cybersécurité afférents ne peuvent plus être ignorés. Les produits à la sécurité défaillante menacent en effet la vie privée des consommateurs et certains d’entre eux, comme cela a déjà été le cas, peuvent être exploités pour mener des cyberattaques à grande échelle par déni de service distribué DDoS.

Face à ces enjeux, l’organisme de normalisation européen Etsi a récemment publié sous le label TS 103 645 un premier référentiel pour la cybersécurité des objets connectés qui effectue un recensement des règles minimales que tout concepteur IoT devrait suivre dans un monde où les cybermenaces se font toujours plus présentes. Ce référentiel devrait aussi servir de base aux futurs schémas de certification IoT, précise l’Etsi. Les spécifications TS 103 645 condamnent notamment l’utilisation de mots de passe universels par défaut, source de nombreux problèmes de sécurité, et préconisent la mise en place d’une politique de divulgation coordonnée des vulnérabilités. De multiples dispositions sont également consacrées aux mises à jour des logiciels, qui doivent être aussi régulières que nécessaire.

« Les parties prenantes à tous les niveaux ont travaillé de concert pour garantir que ces spécifications soient axées sur les résultats attendus plutôt que sur des règles prescriptives, afin que les sociétés aient la possibilité d’innover et d’implémenter des solutions de sécurité adaptées à leurs produits », indique Luis Jorge Romero, directeur général de l’Etsi. Comme de nombreux objets et services IoT traitent et stockent également des données personnelles, le référentiel TS 103 645 va aussi contribuer à garantir leur conformité avec le Règlement général sur la protection des données (GDPR), précise encore l’organisme européen.

L’initiative de l’Etsi a notamment été saluée par l’Alliance pour la confiance numérique (ACN), membre de la Fédération des industries électriques, électroniques et de communication (Fieec), qui, comme son nom l’indique, représente les entreprises du secteur de la confiance numérique et notamment celles liées aux domaines de la cybersécurité, de l’identité numérique, des communications sécurisées, de la traçabilité et de la lutte anti-contrefaçon, et de la ville sûre (Safe City). L’ACN nuance néanmoins son satisfecit. « Pour certains objets connectés pouvant être utilisés dans des applications nécessitant un plus grand niveau d’assurance, il est impératif de compléter les règles minimales de l’Etsi par des procédures plus robustes en termes d’exigences de cybersécurité, peut-on ainsi lire dans un communiqué publié par cette association. Des travaux sont en cours par les entreprises de la filière cybersécurité, au sein de l’Alliance pour la confiance numérique en France et d’Eurosmart en Europe, pour définir des spécifications et les tests associés permettant d’attester d’un niveau d’assurance plus élevé pour les objets connectés ».

« Toutes les dispositions des spécifications Etsi TS 103 465 relèvent de l’hygiène informatique que tout objet intégrant de la connectivité doit suivre a minima, souligne Jean-Pierre Quémard, président de l’ACN. Ces principes de base sont bien sûr nécessaires et leur application généralisée réduirait considérablement les expositions aux risques. Pour autant, elles doivent être comprises comme un premier pas vers une véritable logique de cybersécurisation. » Ces nouvelles spécifications s’inscrivent d'ailleurs dans un contexte de prise de conscience de l’augmentation exponentielle des cyberrisques qui a notamment conduit à la proposition de Cybersecurity Act au niveau européen, indique encore l’Alliance pour la confiance numérique. Le Cybersecurity Act, en cours d’adoption, prévoit la création d’un cadre européen de certification de cybersécurité et définit trois niveaux d’assurance assortis d’exigences différentes : élémentaire, substantiel, élevé.

L’ACN souligne que les futurs schémas de certification devront faire référence aux normes et spécifications techniques existantes afin d’être en adéquation avec le marché. Le travail réalisé par les organisations de normalisation comme le groupe Etsi TC Cybersecurity et le comité CEN-Cenelec JTC13 devrait à ce titre fortement inspirer la certification européenne. Néanmoins, l’ACN tient à souligner que les spécifications proposées par l’Etsi n’apportent une réponse que pour le niveau d’assurance basique, au sens du projet de règlement européen, et ne sauraient être suffisantes pour les niveaux substantiel ou élevé. En effet, de nombreuses dispositions de ces spécifications ne sont pas des exigences obligatoires, notamment celles relatives à la mise à jour des logiciels et celles liées à la divulgation de vulnérabilités. L’ACN note également que le chiffrement des données est simplement recommandé, et seulement pour les données sensibles. En outre, ces spécifications n’incluent pas de tests de cyberattaque tels les tests de pénétration, seuls à mêmes de garantir un réel niveau de sécurité correspondant aux niveaux substantiel ou élevé.

Un travail complémentaire doit donc être désormais entrepris pour tous les objets connectés qui nécessiteront un niveau d’assurance plus élevé et avec une procédure plus robuste de certification, souligne l'ACN. C’est le cas par exemple des systèmes d’alarme et des enceintes intelligentes sur lesquels une cyberattaque pourrait avoir un impact conséquent en termes de sûreté, de sécurité et de respect de la vie privée.

Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC https://www.linkedin.com/showcase/embedded-sec/