Avec la multiplication des attaques par déni de services, l’Europe se penche à nouveau sur la sécurité de l’IoT et des réseaux utilisés par les solutions connectées. D’après un rapport de la commission européenne, les acteurs de la filière de l’IoT sont 92 % à souhaiter la création de standards de sécurité assurant la confidentialité, l’intégrité et la disponibilité des solutions.
L’attaque d’OVH fin 2016 a permis de prendre conscience de l’ampleur des failles de sécurité liées aux objets connectés. L’attaque a montré le rôle des objets connectés, en l’occurrence des caméras dans le cas d’OVH. Pas ou peu sécurisés, ces appareils sont vulnérables et sont de plus en plus nombreux. Selon les analystes, il y aura plus de 20 milliards d’objets connectés dans le monde d’ici 2020 pour un marché estimé à plusieurs centaines de milliards de dollars. L’IoT touche tous les domaines, domotique, sport, santé, logistique, industries, villes intelligentes… Il est donc urgent de renforcer leur sécurité. C’est ce que pense la commission européenne qui réfléchit donc à une règlementation pour encadrer la sécurité de l’IoT. Un rapport de la commission européenne sur la gestion de l’Internet of Things, affirmait déjà en 2013 que 92% des fabricants de produits IoT attendent la mise au point de normes de sécurité.
En octobre dernier, Thibault Kleiner du cabinet du commissaire européen Günther Oettinger, a alimenté le débat, « Il convient de regarder plus loin qu’un simple élément et évaluer aussi tout le réseau et le Cloud. Il faut mettre en place une structure de gouvernance pour la certification ». Le site Euractiv indiquait alors que la commission européenne travaille à une réglementation pour imposer des normes de sécurité et des certifications autour du respect de la vie privée des utilisateurs. Les normes de consommation d’énergie ont à nouveau été mentionnées comme base d’un futur label de cybersécurité. Thibault Kleiner semblait alors privilégier une initiative de l’industrie afin d’impliquer les constructeurs.
Depuis, des initiatives privées proposent de sécuriser l’IoT à l’image du label IoT Qualified Security, créé par l’entité du groupe Econocom, Digital Security. Proposé aux acteurs de la filière, ce programme de labellisation permet une identification fiable et objective du niveau de sécurité des solutions connectées et apporte des garanties de sécurité aux utilisateurs.
« La multiplicité des socles technologiques, l’émergence de nouveaux protocoles de transport, les contraintes de consommation d’énergie et les délais très courts de mise sur le marché sont autant de facteurs qui nécessitent la création d’un référentiel de sécurité pour les acteurs de la filière de l’Internet des Objets», explique Cédric Messeguer, directeur général de Digital Security. Le nouveau label IoT Qualified Security, doit ainsi permettre aux futurs acquéreurs, entreprises ou particuliers, d’identifier le degré de sécurité d’une solution connectée selon un indicateur fiable, neutre et indépendant.
Le label de sécurité repose sur un plan de contrôle prenant en compte les vulnérabilités identifiées au sein des écosystèmes des objets connectés, ainsi que sur les bonnes pratiques issues du domaine de la cybersécurité. Il s’appuie sur la plate-forme d’évaluation développée par le CERT-UBIK, premier CERT spécialisé sur la sécurité de l’IoT.
Sources : Euractiv Futuribles, Silicon, Digital for all now, Le Vif.be, Arcep