Le marché de l’IoT est en pleine effervescence. En effet, les objets connectés sont entrés dans la vie quotidienne des consommateurs sous différentes formes. Pour protéger les données générées par les objets connectés, les États-Unis ont adopté en décembre dernier une loi dénommée l'IoT Cybersecurity Improvement Act of 2020. Elle s'appuie sur les recommandations du National Institute of Standards and Technology (NIST) pour fixer la plupart des exigences que les agences gouvernementales doivent respecter lors de l'achat d'appareils connectés.Fondé en 1901, le NIST est un laboratoire de sciences physiques et une agence non réglementaire du ministère du Commerce des États-Unis. Sa mission est de promouvoir l'innovation et la compétitivité industrielle. Le Congrès a créé l'agence pour éliminer un obstacle majeur à la compétitivité industrielle des États-Unis à l'époque, à savoir une infrastructure de mesure de second ordre qui était en retard sur les capacités du Royaume-Uni, de l'Allemagne et d'autres rivaux économiques.
Les règles initiales du NIST incluent les meilleures pratiques actuelles, telles que la mise en place des identifiants uniques pour chaque appareil afin qu'il puisse être identifié sur un réseau, la mise en place d’un programme de mise à jour des appareils par voie hertzienne et un moyen pour les utilisateurs autorisés de modifier les fonctionnalités liées à l'accès et à la sécurité. Les recommandations incluent également l'enregistrement des actions effectuées par un dispositif IoT ou son application associée et la communication claire des spécificités de la sécurité d'un dispositif à l'utilisateur.
Les dispositifs IoT exposés mettent les entreprises en danger. D'après une enquête de RiskRecon et de l'Institut Cyentia, les organisations dont les dispositifs IoT sont exposés ont une densité 62 % plus élevée de problèmes de sécurité globale. Plus le nombre de dispositifs IoT exposés est élevé, plus il est probable que l’organisation connaisse des problèmes liés au filtrage réseau et aux correctifs logiciels. En outre, 86 % des problèmes de sécurité sur les équipements IoT sont considérés comme critiques.
En novembre 2020, l'Agence de l'Union européenne pour la cybersécurité (ENISA) dont le but est de contribuer à la cyberpolitique de l'UE, en renforçant la fiabilité des produits, services et processus TIC, avec la contribution d'experts en IoT, a créé des lignes directrices pour la sécurisation de la chaîne d'approvisionnement de l'IoT. L'étude a été élaborée pour aider les fabricants, les développeurs, les intégrateurs et toutes les parties prenantes de la chaîne d'approvisionnement de l’IoT à prendre de meilleures décisions en matière de sécurité lors de la construction, du déploiement ou de l'évaluation des technologies IoT. Voici, ci-dessous, une liste de bonnes pratiques recommandées par ENISA pour la sécurisation de la chaîne d'approvisionnement de l'IoT :
- identifier les logiciels tiers ;
- établir un plan de test complet ;
- intégrer des processus sécurisés de gestion des déchets ;
- fournir des nomenclatures logicielles pour les dispositifs IoT ;
- utiliser des techniques de suppression sécurisée des données ;
- utiliser des mécanismes matériels pour fournir une validation interne ;
- intégrer des systèmes de gestion des identités pour les dispositifs IoT ;
- mettre en œuvre les paramètres d'usine qui utilisent la sécurité par défaut ;
- s'engager à fournir des correctifs de sécurité pendant une période de temps.
L'étude de l'Agence de l'Union européenne pour la cybersécurité a été élaborée pour aider les fabricants, les développeurs, les intégrateurs et toutes les parties prenantes de la chaîne d'approvisionnement de l'IdO à prendre de meilleures décisions en matière de sécurité lors de la construction, du déploiement ou de l'évaluation des technologies de l’IoT.
Les entreprises également mettent sur pied des mesures pour la sécurité des appareils IoT. En début d’année, Canonical a mis à disposition du public, Ubuntu Core 20, un système sécurisé pour les appareils IoT. Ubuntu Core 20 traite du coût de conception, de développement et de maintenance des dispositifs sécurisés, avec des mises à jour régulières, automatisées et fiables incluses. « Chaque appareil connecté a besoin d'une sécurité garantie sur sa plateforme », déclare Mark Shuttleworth, fondateur et PDG de Canonical. « Ubuntu Core 20 permet aux innovateurs de créer des choses hautement sécurisées et de se concentrer entièrement sur leurs uniques applications et fonctionnalités, avec des mises à jour de sécurité intégrées au système d'exploitation ».
« Les App stores sont à la base de la nouvelle vague de modèles commerciaux d'appareils connectés », explique Galem Kayo, chef de produit chez Ubuntu Core. « Au fur et à mesure que les applications se déplacent vers la périphérie, la valeur des données dans les endroits éloignés augmente. Ubuntu Core 20 ajoute un démarrage sécurisé avec un chiffrement complet du disque sur support matériel pour garantir la confidentialité des données contre les agresseurs physiques ».
Certains analystes estiment que la loi américaine n'est pas hermétique. IoT Cybersecurity Improvement Act of 2020 donne la possibilité aux agences gouvernementales d'abuser du processus de dérogation. En tant que nation, les États-Unis ont tendance à regrouper beaucoup d'activités quotidiennes sous la rubrique de la sécurité nationale, ce qui signifie qu'il n'est pas difficile pour une agence gouvernementale de faire valoir qu'elle n'a pas besoin de se conformer aux exigences du NIST. La loi ne précise pas quelle agence évalue l'efficacité de ces méthodes alternatives ni comment cette évaluation est faite.
Bien que la loi américaine adoptée en décembre interdit aux agences gouvernementales d'acheter des appareils qui ne sont pas conformes aux exigences de sécurité, elle laisse ouverte une procédure de dérogation pour les appareils nécessaires à la sécurité nationale ou à la recherche.
Source : IEEE
Et vous ?
Avez-vous une expérience dans la technologie IoT ? Ou utilisez-vous un objet connecté ? Que pensez-vous de cette technologie ? Quel est votre avis sur la loi américaine ? Quels commentaires faites-vous des lignes directrices pour la sécurisation de la chaîne d'approvisionnement de l'IoT, recommandées par ENISA ?Voir aussi :
Des modules IoT pour applications connectées, une association de Arrow Electronics, Panasonic Industry et STMicroelectronics Les dispositifs IoT exposés mettent les entreprises en danger, d'après une nouvelle enquête de RiskRecon et de l'Institut Cyentia Le guide de la sécurité IoT, pour toute la durée de vie, des exigences et de la conception à l'utilisation finale, à la livraison et à la maintenance, ainsi qu'à l'élimination, par l'ENISA Le tableau de bord Arduino IoT Cloud avec de nouvelles fonctionnalités avancées, la plateforme de développement rapide pour objets connectés mise à jour 
