[EDITION ABONNES] Proposer une plate-forme en ligne destinée à aider les fournisseurs d'objets connectés à évaluer, gérer et atténuer les vulnérabilités de sécurité de leurs produits et à fournir des rapports ad hoc. Tel est l’objectif de l'IoT Security Foundation (IoTSF) avec le site VulnerableThings.com.... L’idée est de simplifier le reporting et la gestion des vulnérabilités tout en aidant les fournisseurs à se conformer aux nouvelles normes et réglementations de sécurité IoT grand public.

Ainsi, en tant que première norme applicable au niveau mondial pour la cybersécurité de l'IoT grand public, la nouvelle spécification Etsi EN 303 645 exige des fournisseurs d'objets connectés de publier une politique de divulgation des vulnérabilités claire et transparente, d'établir une procédure interne de gestion des vulnérabilités, de rendre publiques les coordonnées des rapports de vulnérabilité et de surveiller et d'identifier en permanence les vulnérabilités de sécurité au sein de leurs produits. Des tâches qui ne s'avèrent pas simples à respecter de manière claire pour que l’accès à toutes ces données soit facilité pour les utilisateurs et les chercheurs.

Parallèlement, les gouvernements du monde entier, notamment le Royaume-Uni, l’Australie, Singapour, la Finlande et les états américains de Californie et de l'Orégon, ont déjà publié des codes de pratique, établi des programmes d'étiquetage de produits IoT ou préparé une législation alignée sur la norme Etsi. La mise en œuvre d'un moyen de prendre en compte les rapports de vulnérabilités est une caractéristique commune de toutes ces initiatives. Sans mécanismes pour signaler, gérer et résoudre les vulnérabilités - telles que le mécanisme de Divulgation coordonnée des vulnérabilités (CVD, Co-ordinated Vulnerability Disclosure) - la sécurité des produits IoT grand public diminue au fil du temps et le risque d'attaques ou d'abus augmente, note l'IoT Security Foundation.

« La gestion des vulnérabilités est un élément fondamental de la “cyber-hygiène” de l'IoT et il n'est pas surprenant que les gouvernements et les régulateurs du monde entier en fassent une exigence désormais obligatoire, explique John Moor, directeur général de l'IoT Security Foundation. C’est pourquoi, en tant qu'autorité fondée sur des experts de premier plan au niveau mondial sur la sécurité de l'IoT, l'IoTSF a publié les meilleures pratiques de divulgation des vulnérabilités et de publication de rapports sur l'état du secteur. Nos conclusions sont que l'industrie doit faire plus pour protéger les utilisateurs et leurs propres entreprises. Nous voyons donc la nécessité de poursuivre cette pratique de sécurité vitale et visons à la rendre aussi simple que possible avec le lancement de la plate-forme Vulnerable Things - en particulier en direction des non-initiés et des entreprises qui peuvent manquer de ressources. »

Selon l'IoT Security Foundation, les vulnérabilités peuvent mettre en danger la sécurité des utilisateurs et les données personnelles et pourraient placer un fournisseur IoT en violation des réglementations de protection des données (telles que la RGPD). L'incapacité à répondre à une vulnérabilité signalée, qu'elle provienne d'un consommateur ou d'un chercheur spécialisé en sécurité, pourrait entraîner une divulgation publique incontrôlée de la vulnérabilité, augmentant de fait le risque d'attaques.

Concrètement le site VulnerableThings.com fournit un outil de gestion des vulnérabilités prêt à l'emploi ainsi que des ressources utiles pour les membres, notamment des modèles de politiques, des directives de résolution de problèmes et un répertoire de conseillers spécialisés pour aider les fabricants d'objets IoT à se préparer aux réglementations émergentes. Avec un modèle précis de depôt des vulnérabilités documentées (image ci-dessus).

La CVD doit devenir un élément essentiel de la culture des fournisseurs de systèmes IoT performants et doit être comprise et soutenue par le conseil d’administration d’une entreprise, le responsable de la conformité, les chefs de produits, les responsables du développement de produits et de la sécurité, les responsables de la chaîne logistique et les équipes de relations publiques.

Les fabricants abonnés à VulnerableThings auront accès à un tableau de bord qui les guidera tout au long du processus de résolution des vulnérabilités et facilitera la communication avec l'éditeur du rapport. Si une vulnérabilité est signalée dans un produit d'un fournisseur qui ne s'est pas inscrit au service, une alerte sera envoyée à une adresse e-mail publique du fabricant qui aura alors la possibilité d'accéder en toute sécurité aux détails du rapport de vulnérabilité en s'inscrivant à la plate-forme VulnerableThings.

L'accès à VulnerableThings.com est disponible gratuitement jusqu'au 31 janvier 2021. L'abonnement au service permet également d'accéder à une assistance professionnelle pour des annonces de divulgation coordonnées.

Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC