Sécurité : l'ANSSI en faveur de l'auto-certification des objets connectés

Sécurité : l’ANSSI en faveur de l’auto-certification des objets connectés

C'est green !

Avatar de l'auteur
Guénaël Pépin

Publié dans

Internet

06/06/2017
9

Sécurité : l'ANSSI en faveur de l'auto-certification des objets connectés

Pour Guillaume Poupard, directeur de l'agence française, la sécurité des objets connectés devrait passer par leur certification. L'institution discute avec la Commission, qui montre déjà son intérêt sur le sujet, avec l'idée de pousser l'auto-certification.

En fin d'année dernière, Mirai montrait l'ampleur que peuvent prendre des attaques fondées sur des centaines de milliers d'objets connectés. Suite à l'infection massive de routeurs (notamment en Allemagne) et d'appareils divers, comme des caméras IP, le sujet de leur sécurité toute relative est rapidement remonté à la surface.

L'une des illustrations les plus concrètes était le rappel massif de caméras, aux identifiants écrits en dur dans le code. Si jusqu'ici, l'Agence nationale de sécurité des systèmes d'information (ANSSI) privilégiait le dialogue, l'idée d'une labellisation commençait à émerger sérieusement. Dans son rapport de mi-parcours du marché unique numérique, la Commission affirmait travailler à l'étiquetage et la certification des objets connectés. Une perspective soutenue par l'agence européenne de sécurité... et par l'ANSSI, comme elle nous l'affirme.

L'auto-certification envisagée

Interrogé en marge du Cloud Independance Day 2017, ce matin, Guillaume Poupard affirme qu'en matière de sécurité numérique, « il nous faut un système d'évaluation et de labellisation adaptable, pour que tout ne soit pas au même niveau ». Les objets connectés représenteraient l'un des niveaux de base, ce qui ouvre la voie à l'auto-certification par les fabricants.

« Quand on fait un chiffreur IP [passerelle de VPN], je ne crois pas à l'auto-certification. Mais quand ce sont des objets dont l'impact, même en termes de défaillance de sécurité, n'est pas énorme, cela a le grand mérite de passer à l'échelle, explique le directeur de l'ANSSI. C'est cette idée que nous travaillons avec la Commission. »

Avec de tels soutiens, l'idée de labels dédiés à l'Internet des objets est donc en très bonne voie en Europe. L'efficacité d'un tel tampon reste encore à éprouver.

Alors que le Règlement général de protection des données (RGPD) doit protéger le traitement des données personnelles, il existe encore peu de contraintes concrètes quant aux appareils qui les collectent. Pour l'ENISA, il faudrait d'ailleurs imposer un niveau de sécurité minimal à ces équipements, en jouant par exemple sur les polices d'assurance des sociétés qui les utilisent.

L'agence européenne propose d'ailleurs de favoriser les entreprises européennes dans ce domaine. L'idée est soutenue par Olivier Midière, ambassadeur du numérique du Medef, qui déclare au Cloud Independance Day qu'il y a un vrai besoin d'une vraie production industrielle de ces objets en France, dans l'idée de soutenir la souveraineté nationale sur la question.

Un label ESCloud bientôt sous pavillon européen ?

Pour sa part, l'ANSSI est déjà habituée aux labels, l'une de ses missions étant la certification d'offres et de produits. En matière de cloud, fin 2016, l'institution lançait le label SecNumcloud, avec quelques premiers prestataires lauréats. Pour éviter une démarche franco-française, il a été immédiatement complété par le label franco-allemand ESCloud, l'Allemagne contribuant via son étiquetage « C5 ».

Guillaume Poupard affirme que, si ESCloud est un appel à tous les pays européens, aucun n'y a encore répondu à sa connaissance. « À mon avis, l'étape d'après sera une reprise du sujet par la Commission elle-même, avec un label directement européen » nous déclare-t-il.

« On travaille beaucoup en ce moment avec la Commission sur le sujet global de l'évaluation européenne. Pour éviter une fragmentation nationale insupportable ou des accords mondiaux avec une barre si basse que cela n'a plus beaucoup de sens » poursuit le responsable, dont l'agence exploite toutes les voies à sa portée pour diffuser sa parole auprès des institutions.

9

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

L'auto-certification envisagée

Un label ESCloud bientôt sous pavillon européen ?

Commentaires (9)


Jean_G Abonné
Le 06/06/2017 à 12h 37

Il a rasé la barbe, le Poupard…


Le 06/06/2017 à 13h 09

Appelez moi Cassandre


Le 06/06/2017 à 13h 25

haha bien vu ;)


Le 06/06/2017 à 13h 33

tu pourrais me donner 5 nombres (distincts) entre 1 et 50 et deux entre 1 et 12 (distincts aussi) ?

C’est pour une expérience sociale <img data-src=" />


Le 06/06/2017 à 13h 35
Jean_G Abonné
Le 06/06/2017 à 13h 42







WereWindle a écrit :



tu pourrais me donner 5 nombres (distincts) entre 1 et 50 et deux entre 1 et 12 (distincts aussi) ?

C’est pour une expérience sociale <img data-src=" />





Mouais, faut les donner en message privé, sinon il faudra diviser les gains par le nombre de lecteurs, et on en trouve partout, n’est-ce pas Guénaël ?



Le 06/06/2017 à 13h 44

  • je connaissais pas “chiffreur IP”



    • Pour l’histoire des labels, ça me rappelle le China Export qui ressemblait à quelque couilles près au label CE <img data-src=" />







      > 127.0.0.1 a écrit :

      >

      > pas de problème<img data-src=" />





      c’est de la triche, je pouvais faire la même avec Excel <img data-src=" />

      Moi je voulais l’avis de celui qui “voi[t] des gens qui sont morts” <img data-src=" />



Le 06/06/2017 à 13h 46

voila: 01-07-21-30-46 / 02-04



je vois également que si tu joues ces chiffres, tu ne vas pas gagner le gros lot. <img data-src=" />


Le 06/06/2017 à 13h 49

c’est le souci quand on prend les dates de naissance : c’est dur de couvrir toutes les possibilités de choix <img data-src=" />

(je vais peut-être sacrifier deux euros juste pour voir et éventuellement te gwaker <img data-src=" /> )