IoT et sécurité : vers une certification européenne ?

Avec les cyberattaques et l’érosion de la confiance des utilisateurs, les questions de sécurité des objets connectés commencent à se faire jour. L’Union européenne s’est déjà saisi du problème et a entamé l’élaboration de certifications dans le domaine.

Verra-t-on un jour un label apposé sur les objets connectés, à l’instar de la norme « CE » ? En adoptant le Cybersecurity Act, au printemps 2019, la commission européenne a en tout cas effectué un premier pas vers l’élaboration de certification de sécurité des outils numériques. Ce cadre réglementaire concerne tous les secteurs susceptibles d’embarquer des systèmes connectés comme le cloud ou le véhicule autonome, mais les objets connectés sont particulièrement concernés.

« La culture de la sécurité reste absente de ce domaine. Depuis les débuts de l’IoT, les fabricants se préoccupent d’abord de la fonction sans forcément évaluer les enjeux de protection des données ou du détournement des objets », explique Yoann Kassianides, délégué général de l’Alliance pour la Confiance Numérique (ACN). Les attaques du virus Mirai, en 2016, utilisant plus de 600 000 objets afin de saturer des serveurs d’entreprises comme Dyn ou OVH, en constituent un bon exemple.

>>> Lire aussi : « Sans transition numérique, certains hôpitaux finiront par disparaître »

Généraliser le « security by design »

Une partie des attaques auxquelles les objets sont vulnérables ont un fondement très simple. Elles pourraient être évitées par l’adoption d’une hygiène de sécurité basique : « Beaucoup d’objets connectés n’effectuent aucune mise à jour ou possèdent un même mot de passe administrateur par défaut, type 0000 » précise Yoann Kassianides. Dans ces cas, l’urgence consiste d’abord à adopter une approche « security by design » où les règles fondamentales de sécurité sont intégrées dès la conception de l’objet.

La seconde approche est prospective. Elle s’appuie sur la création d’un cadre réglementaire qui permet de poser des schémas de sécurité sur tous les sujets liés aux technologies connectés. C’est le sens du Cybersecurity Act, adopté en 2019 par la commission européenne. « Ce texte est l’étape préalable pour mettre en place des certifications. Il établit la façon dont on doit élaborer les règles de cybersécurité à l’échelle européenne. », analyse Yoann Kassianides. La commission a identifié trois niveaux de certification qui peuvent s’appliquer selon le degré de sensibilité du logiciel, de l’application ou de l’objet évalué.

>>> Aller plus loin : Demain, une couverture mondiale de l’IoT

Consolider le marché commun du numérique

Chaque niveau devrait mettre en œuvre des méthodes de certification différentes, d’un simple questionnaire déclaratif pour le degré le plus bas, à une mise à l’épreuve particulièrement intense pour les outils les plus sensibles. « Il faut progressivement intégrer l’idée que la cybersécurité n’est pas une conformité comme les autres et qu’elle nécessite des moyens adaptés, pensés à l’échelle européenne », poursuit Yoann Kassianides.

L’émergence d’un marché commun européen du numérique est à ce prix, avec une préoccupation centrale : « La sécurité n’est pas là pour brider l’innovation ou détruire l’économie du secteur. Nous devons donc veiller à ne pas ajouter des coûts trop lourds à supporter pour les entreprises. » C’est l’Agence européenne de sécurité des réseaux (Enisa) qui est chargée d’élaborer les schémas, secteur par secteur. Les premiers sont d’ores et déjà en cours d’élaboration, notamment sur le cloud. Les objets connectés devraient prochainement entrer dans le champ de réflexion.

French IoT – Ilustration Shutterstock.com