Le Congrès américain vient d'adopter une nouvelle loi sur la sécurité des dispositifs IdO, une loi qui permettrait d'encadrer un tant soit peu ce secteur en plein essor. L'IoT Cybersecurity Improvement Act (loi sur l'amélioration de la cybersécurité de l'IdO) exige que tous les dispositifs IdO achetés par le gouvernement répondent à des exigences de sécurité minimales, comme la manière dont les vulnérabilités sont corrigées. En vertu de la nouvelle loi, le NIST (National Institute of Standards and Technology) créera les normes de sécurité pour le développement, le correctif et la gestion de l'identité et de la configuration de l'IdO.De nouvelles directives de l'État pour sécuriser tous les dispositifs IdO
Le projet de loi IoT Cybersecurity Improvement Act a été proposé pour la première fois en 2017. Il a été réintroduit en novembre 2019 et adopté à l'unanimité par la Chambre et le Sénat en septembre dernier. Il va maintenant passer au bureau du Président. La nouvelle loi est qualifiée d'assez "bonne" par les membres de la communauté, bien que ces derniers s'accordent à dire qu'il a été lent à arriver. Selon un rapport du site indépendant Decipher, qui couvre le domaine de la sécurité informatique, la loi a bénéficié d'un large soutien bipartite et n'a pas du tout été controversée.
La législation a été soutenue par le sénateur Mark Warner (D-Va.) et le sénateur sortant Cory Gardner (R-Colo), ainsi que par les représentants Will Hurd (R-Tex.) et Robin Kelly (D-Ill.). Elle bénéficie également du soutien de grandes sociétés de sécurité et de technologie. « Les sénateurs, les représentants et leur personnel ont droit à un crédit spécial pour les années de travail sur cette importante législation », a écrit Harley Lorenz Geiger, directeur de la politique publique chez Rapid7, sur Twitter. « L'adoption d'un projet de loi non controversé est un exploit, même en l'absence d'élections, de pandémie et de partisanerie accrue. Félicitations ».
L'OMB (Office of Management and Budget) publiera également des règles exigeant que les agences civiles fédérales aient des politiques de sécurité de l'information conformes aux directives du NIST. L'une des sections porte également sur les agences fédérales qui mettent en œuvre une politique de divulgation des vulnérabilités, une exigence qui s'étend aux contractants fournissant des systèmes d'information aux agences. Cela sera particulièrement important, car cela guidera les secteurs public et privé sur la manière de divulguer les vulnérabilités de ces dispositifs, et encouragera potentiellement une plus grande coordination publique.
L'industrie a également soutenu l'effort, notamment Symantec, Mozilla, BSA The Software Alliance (qui comprend Apple, Microsoft, IBM, Cloudflare, la CTIA et d'autres). Par ailleurs, le Congrès a réussi à garder les doigts hors des choses dont il ne sait rien en laissant la production des normes aux experts, en utilisant les marchés publics fédéraux pour créer une norme industrielle de facto.
La nouvelle loi n'est pas parfaite, mais elle représente un "bon" premier pas
La nouvelle loi n'est pas parfaite, car elle laisse toujours le champ libre aux entreprises de continuer à proposer des dispositifs IdO avec une sécurité discutable. Les entreprises pourront toujours fabriquer des produits qui ne répondent pas aux nouvelles normes et il y aura donc toujours des produits peu sûrs destinés aux consommateurs à des prix plus bas. Cela signifie que la cybersécurité va continuer à être un problème majeur pour l'IdO. En réalité, elle n'oblige pas les entreprises, en dehors du gouvernement fédéral à fabriquer ou à acheter des produits conformes aux nouvelles normes.
Le marché continuera donc à livrer des dispositifs IdO non sécurisés, ce qui créera d'énormes opportunités pour les réseaux de zombies, les attaques DDoS, le vol de données, etc. La responsabilité de la sécurité et de la fiabilité des IdO incombe en dernier ressort aux fabricants, qui peuvent donc choisir de ne pas suivre les recommandations du NIST et continuer à vendre leurs produits en dehors du gouvernement fédéral.
Cependant, cette loi constitue le plus important texte législatif sur cette question cruciale : le raccordement de milliards de dispositifs à Internet, dont beaucoup sont mal sécurisés. Désormais, elle garantit que, pour ceux qui recherchent des produits sûrs et de qualité, il y aura une norme de base dans tout le secteur. En supposant que le président la signe, elle entrera en vigueur l'année prochaine. Notons que le calendrier initial des recommandations du NIST pour septembre a été bouleversé parce que le Congrès a fait ce qu'il fait de mieux : se mettre en stase.
Par ailleurs, l'on estime que son adoption a de quoi réjouir, car une approche fédérale, à l'échelle...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.