Sécurité : la norme européenne Etsi pour appareils IoT grand public s’étend aux box et passerelles résidentielles

Etrsi Home Gateway

L’organisme de normalisation européen Etsi étoffe son arsenal de spécifications liées à la cybersécurité avec une norme dévolue aux box et passerelles résidentielles (Home Gateways). Référencée TS 103 848 et développée par le comité technique Cyber de l’Etsi, la spécification est une adaptation de la norme EN 303 645 portant sur les appareils IoT grand public. Elle vise à sécuriser les équipements physiques installés entre le réseau domestique de l’utilisateur et le réseau public, ainsi que le trafic de données entre ces réseaux.

L’Etsi rappelle que, du côté du réseau du fournisseur de services Internet, les passerelles et box résidentielles sont exposées à des risques et attaques provenant d'un appareil IoT grand public et c’est la raison pour laquelle l’organisme de normalisation a ajouté des dispositions à la norme EN 303 645.

Pour aider les fabricants et les autres parties prenantes, le comité technique Etsi Cyber a également publié un rapport technique, estampillé TR 103 621, qui fournit des conseils pour la mise en œuvre des dispositions de la spécification EN 303 645. Le rapport se présente sous la forme d'une série d'exemples illustrant les solutions qu’il est possible d’implémenter pour satisfaire les exigences de la norme. L'intention est d'aider les fabricants à mieux comprendre comment chaque disposition peut être respectée.

Par exemple, pour modifier le mot de passe par défaut, le rapport indique : « Le mot de passe de l'appareil IoT grand public issu par défaut en sortie d’usine est imprimé sur un autocollant sous le boîtier de l'appareil. Lors de la phase d'initialisation, l'utilisateur est invité à fournir un nouveau mot de passe et la procédure ne peut être achevée avant que celui-ci soit différent du mot de passe par défaut ».

Pour rappel, la norme européenne EN 303 645 est mise en œuvre à l'échelle mondiale sur une variété de produits grand public, d'appareils intelligents, etc. Les treize exigences de cybersécurité, ainsi que les exigences liées à la protection des données, stipulées par la norme constituent aussi une base pour la création de nouvelles spécifications faisant référence à des dispositifs IoT grand public spécifiques dans des secteurs verticaux. La première norme connexe concernait les smartphones et a été publiée fin 2021, et la prochaine se concentrera sur les serrures de porte intelligentes.

Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC