L'agence de sécurité informatique européenne, l'ENISA, s'associe à des groupes européens des semiconducteurs pour renforcer la sécurité de l'Internet des objets. Principal objectif : la certification des produits. Malgré de récentes attaques massives, la réponse au problème en est encore à ses balbutiements.
La sécurité de l'Internet des objets a souvent des airs de chimère, l'ENISA veut lui donner une réalité. L'agence s'est associée à plusieurs industriels (Infineon, NXP et STMicroelectronics) pour réclamer aux autorités européennes de prendre le problème à bras le corps. Pour eux, il faut certifier et imposer la sécurité des objets connectés, entre 20 et 50 milliards devant être en ligne en 2020.
L'électrochoc Mirai
Il ne s'agit pas de paranoïa, le problème s'étant manifesté à de nombreuses reprises dernièrement. S'il n'invente rien en soi, le botnet Mirai a donné une nouvelle échelle au phénomène ces derniers mois, en enrôlant des centaines de milliers d'objets (dont des caméras IP et routeurs), menant à des attaques DDoS importantes, comme celle du fournisseur DNS Dyn (voir notre analyse).
Le niveau de sécurité de certains produits peut être qualifié de catastrophique, avec des ports inutilement ouverts, des serveurs web accessibles sans raison ou encore des identifiants inscrits en dur dans le code. De quoi obliger un fabricant à battre le rappel en urgence.
« Aujourd'hui, il n'y a aucun niveau de base, aucun niveau zéro pour la sécurité et la confidentialité des objets connectés » constate l'ENISA. « La connectivité envahissante de l'Internet des objets signifie que la sécurité devient un problème important pour tous les citoyens, qu'ils utilisent un ordinateur, une TV ou une machine à laver » renchérit Stefan Hofschen, président de la division sécurité d'Infineon. Il est donc temps d'en appeler à la loi, pensent-ils.
Des obligations minimales pour les fabricants
L'ENISA et ses partenaires suggèrent donc aux législateurs européens de définir une ligne de base sur la sécurité et la confidentialité de l'Internet des objets. Par chance, ils sont en train de l'écrire en ce moment même ! Cela via l'Alliance pour l'innovation dans l'Internet des objets (AIOTI), initiée en septembre par la Commission européenne et regroupe les principaux acteurs de l'électronique et des télécoms du vieux continent.
Le système institutionnel européen semble donc bien en marche vers ces obligations. L'ENISA recommande par ailleurs de s'appuyer sur l'expertise des agences du SOG-IS, soit plusieurs pays européens, dont la France (avec l'ANSSI). L'agence veut l'étendre à plus d'États membres et améliorer sa reconnaissance par les institutions communautaires.
Les signataires de la lettre encouragent la conception d'obligations « échelonnées », avec un socle minimal qu'il serait bon d'imposer par la loi. Ils demandent donc à la Commission européenne de créer un nouveau cadre, avec des prérequis clairs pour les objets connectés. Le but est d'imposer le même niveau de sécurité à tous, avec des pénalités qui abusent des certifications ou commercialisent des contrefaçons.
Un label pour la sécurité de l'IoT
Car la principale demande de l'ENISA est de lancer des labels pour la sécurité et la confidentialité de l'Internet des objets. L'entité réclame aussi de mieux prendre en compte les standards existants, voire les adapter aux objets connectés au besoin, comme les tests d'interopérabilité.
Elle veut voir émerger un label de confiance européen (« EU Trust Label »), dont l'utilisation devrait être obligatoire. Sur le fond, l'efficacité même de cette approche reste à déterminer. Le niveau de sécurité demandé doit être élevé, son contrôle strict et son adoption suivie par les clients.
Ces derniers pourraient y être incités par certains biais, comme des assurances pour entreprises modulant leur police en fonction du matériel présent sur les réseaux professionnels. Cette idée est directement défendue par l'ENISA et les industriels, via un « Digital Security Bonus » accordé pour l'introduction de solutions de sécurité, pourquoi pas avec une assurance cybersécurité obligatoire.
Accompagner et soutenir les entreprises
Dans l'analyse à mi-parcours du marché unique numérique, la Commission européenne envisage officiellement d'imposer la certification et l'étiquetage des objets connectés. Une piste qui trouve des échos en France. En décembre, Éric Freyssinet, l'un des principaux spécialistes français des botnets, estimait qu'elle était à explorer si le secteur ne se prend pas lui-même en mains. Au même moment, l'ANSSI nous affirmait ne pas encore en être à ce stade.
Les doléances de l'ENISA incluent, par ailleurs, la garantie de processus de sécurité et des services fiables pour soutenir les industriels dans la sécurité de leurs produits. Il faudrait ainsi les former sur les solutions existantes, « comme le chiffrement, le stockage approprié des clés, l'authentification forte, ainsi que les systèmes de gestion de la vie privée et d'identité ».
La standardisation pouvant être longue, l'ENISA et les industriels demandent aux pouvoirs publics de d'abord soutenir les bonnes pratiques des groupes européens, « en précurseurs ». Enfin, ils suggèrent d'introduire des formations obligatoires sur la vie privée, notamment à l'école. Rappelons ainsi le lancement il y a quelques jours de la SecNumacadémie de l'ANSSI, censée former les employés à l'hygiène informatique en entreprise (voir notre entretien).
Commentaires (9)
label enfumage encore
De toutes façons, les pouvoirs de l’Europe se limitent à imposer des normes et des labels.
Comme pour le label CE, je suppose que ce sera de l’auto-certification… donc tout le monde pourra apposer ce label dés lors qu’il aura soumis le formulaire ki-va-bien, en espérant ne jamais être contrôlé.
L’idée est bonne, après tout dépend de comment c’est mis en place. Pour l’histoire d’assurance cybersécurité obligatoire, je suis sûr que ça va ravir les entrepreneurs
" />
pas évident de trouver un moyen de faire respecter les normes lors du déploiement massif de certains objets ou technologies…
Les class actions sont bien dissuasives, mais ne sont efficaces qu’après coup quand c’est trop tard. Les labels et la “compliance” c’est pratique mais on laisse une immense marge de manoeuvre aux sociétés et pas beaucoup aux consommateurs, souvent avec des autorités chargées de surveiller sous-dotées et disposant de peu de moyens de sanction.
Au final le problème c’est toujours le même problème, le manque de connaissance du consommateur et le flou autour de ce qu’on lui propose effectivement. on lui fait manger ce qu’on veut.
C’est un hoax.
Je suis pour que l’Europe définisse des règles à respecter en matière de gestion des données privées et de la sécurité (pas que des objets connectés).
La certification c’est impossible compte tenu du temps nécessaire qui ne sera jamais compatible avec les délais de mise sur le marché des innovations.
L’apposition d’un label ne sert strictement à rien à part tromper les consommateurs cf le label CE ou NF qui ne subissent aucun contrôle.
Par contre, à partir du moment où il y a des règles qui ne sont pas respectées par des constructeurs sanction financière lourde à postériori quand il y a des manquements manifestes. Un peu comme le modèle américain où ils tapent très fort financièrement quand il y a eu fraude.
Il faudrait déjà arrêter de vouloir que les objets connecté envoient toutes les informations sur internet Ils n’ont que peu de raison de sortir du réseau privée pour le particulier. Et pour le professionnel… ben c’est un professionnel avec les contraintes que ça incombe
" />
A la rigueur, une gateway, qui elle sera correctement sécurisée, fait passerelle entre le réseaux privé et internet.
Bref, avoir une architecture qui permette différent niveau de sécurité. Sinon, le maillon le plus faible conditionnera la sécurité de votre lan… Et si vous mettez tous vos maillons sur internet.