
La Connectivity Standards Alliance publie une spécification visant à certifier la cybersécurité des objets connectés grand public [EDITION ABONNES] Le groupe de travail Product Security de la Connectivity Standards Alliance (CSA, ex-Zigbee Alliance), aujourd’hui essentiellement connue pour la spécification Matter destinée à standardiser les interactions sans fil dans le domaine de la maison connectée, annonce la publication de la spécification IoT Device Security 1.0 et le lancement du programme de certification afférent (et du label Product Security Verified associé). Selon l’organisme, cette initiative vise à établir un standard de cybersécurité IoT unifié et à offrir aux fabricants une solution unique pour certifier leurs appareils, l’idée étant qu’ils puissent se conformer plus facilement à plusieurs réglementations et normes internationales. « En regroupant diverses réglementations internationales au sein d’une spécification cohérente, le programme de certification Product Security rationalise le processus, réduit la redondance et offre aux fabricants une voie unique et respectée pour certifier leurs appareils à l'échelle mondiale », assure Tobin Richardson, le président et CEO de la Connectivity Standards Alliance. A ce titre, le groupe de travail Product Security estime avoir relever le défi de regrouper les exigences des trois directives de cybersécurité IoT les plus populaires des États-Unis, de Singapour et d'Europe en un seul programme de spécifications et de certification pour tous les appareils IoT grand public (systèmes d’éclairage, interrupteurs, thermostats, interphones vidéo, etc.). La version 1.0 de la spécification IoT Device Security de la CSA comprend en pratique des dizaines de dispositions spécifiques en matière de sécurité. Les fabricants d'appareils IoT doivent donc démontrer leur conformité à ces dispositions en fournissant des justificatifs et des preuves à un laboratoire de test agréé possédant une expertise en évaluation de la sécurité et une expérience dans la certification de produits par rapport à ladite spécification. Parmi ces exigences spécifiques, la Connectivity Standards Alliance cite notamment une identité unique pour chaque appareil IoT, l’absence de mot de passe par défaut codé en dur, un stockage sécurisé des données sensibles sur l'appareil, des communications sécurisées pour les informations pertinentes pour la sécurité, des mises à jour logicielles sécurisées tout au long de la période de support, un processus de développement sécurisé, y compris la gestion des vulnérabilités, et de la documentation publique concernant la sécurité. Près de 200 sociétés membres de l’organisme, dont Amazon, Arm, Comcast, Google, Infineon, NXP, Schneider Electric, Signify (Philips Hue et WiZ) et Silicon Labs, ont collaboré à la mise au point de la spécification IoT Device Security 1.0. Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC Le label Product Security Verified de l'alliance CSA

La Connectivity Standards Alliance publie une spécification visant à certifier la cybersécurité des objets connectés grand public

[EDITION ABONNES] Le groupe de travail Product Security de la Connectivity Standards Alliance (CSA, ex-Zigbee Alliance), aujourd’hui essentiellement connue pour la spécification Matter destinée à standardiser les interactions sans fil dans le domaine de la maison connectée, annonce la publication de la spécification IoT Device Security 1.0 et le lancement du programme de certification afférent (et du label Product Security Verified associé). Selon l’organisme, cette initiative vise à établir un standard de cybersécurité IoT unifié et à offrir aux fabricants une solution unique pour certifier leurs appareils, l’idée étant qu’ils puissent se conformer plus facilement à plusieurs réglementations et normes internationales.

« En regroupant diverses réglementations internationales au sein d’une spécification cohérente, le programme de certification Product Security rationalise le processus, réduit la redondance et offre aux fabricants une voie unique et respectée pour certifier leurs appareils à l'échelle mondiale », assure Tobin Richardson, le président et CEO de la Connectivity Standards Alliance. A ce titre, le groupe de travail Product Security estime avoir relever le défi de regrouper les exigences des trois directives de cybersécurité IoT les plus populaires des États-Unis, de Singapour et d'Europe en un seul programme de spécifications et de certification pour tous les appareils IoT grand public (systèmes d’éclairage, interrupteurs, thermostats, interphones vidéo, etc.).

La version 1.0 de la spécification IoT Device Security de la CSA comprend en pratique des dizaines de dispositions spécifiques en matière de sécurité. Les fabricants d'appareils IoT doivent donc démontrer leur conformité à ces dispositions en fournissant des justificatifs et des preuves à un laboratoire de test agréé possédant une expertise en évaluation de la sécurité et une expérience dans la certification de produits par rapport à ladite spécification.

Parmi ces exigences spécifiques, la Connectivity Standards Alliance cite notamment une identité unique pour chaque appareil IoT, l’absence de mot de passe par défaut codé en dur, un stockage sécurisé des données sensibles sur l'appareil, des communications sécurisées pour les informations pertinentes pour la sécurité, des mises à jour logicielles sécurisées tout au long de la période de support, un processus de développement sécurisé, y compris la gestion des vulnérabilités, et de la documentation publique concernant la sécurité.

Près de 200 sociétés membres de l’organisme, dont Amazon, Arm, Comcast, Google, Infineon, NXP, Schneider Electric, Signify (Philips Hue et WiZ) et Silicon Labs, ont collaboré à la mise au point de la spécification IoT Device Security 1.0.

Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC

Le label Product Security Verified de l'alliance CSA