Le gouvernement britannique a publié le lundi 15 octobre un guide des bonnes pratiques de la sécurité IoT. Selon ses concepteurs, c’est une première mondiale à destination des constructeurs de produits connectés.
Le Department for Digital, Culture, Media and Sport (DCMS) et le National Cyber Security Centre (NCSC), l’équivalent de secrétariat au numérique et de l’ANSSI en France, ont publié un code de pratiques à adopter volontairement pour améliorer la sécurité des objets connectés.
Un code des pratiques IoT pour répondre aux considérations des citoyens
Les affaires de piratages effraient le grand public. Sachant que le Royaume-Uni est l’un des premiers pays à avoir bénéficié de l’Amazon Echo, que des jouets connectés peu sécurisés ont entaché la réputation de l’IoT auprès du grand public, le gouvernement devait faire bonne figure. Le risque plus grand de piratage de voitures autonomes ou d’appareils médicaux comme les pacemakers a sûrement motivé cette décision du gouvernement britannique.
Sans promouvoir un cadre légal, il s’agit avant tout d’inciter les constructeurs à respecter des pratiques facilitant l’adoption de la security by design et de la privacy by design. Pour cela, les deux instances du gouvernement britannique ont travaillé avec des fabricants d’objets connectés et des spécialistes de l’IT.
Les 13 lignes directrices du gouvernement britannique pour protéger l’IoT
Ce code de bonnes pratiques repose sur 13 lignes directrices adressées aux fabricants, aux développeurs, aux fournisseurs de services et aux distributeurs. La première mesure est simple : bannir les mots de passe par défaut. Ensuite, le gouvernement britannique espère que les acteurs de la filière :
- mettent en œuvre une politique de divulgation des vulnérabilités conservent les produits à jour;
- stockent en toute sécurité des informations d’identifications et les données sensibles de sécurité;
- assurent la sécurisation des communications;
minimisent la surface d’exposition aux attaques; - assurent l’intégrité des logiciels;
- protègent les données personnelles;
- rendent leurs systèmes résilients aux pannes;
- surveillent les données de télémétrie;
- facilitent la suppression des données personnelles des utilisateurs;
- rendent l’installation et la maintenance plus aisée
- valident les données d’entrée.
Un premier jet avant la publication d’une loi
Le document contenant 226 pages a été signé par HP et Centrica Hive. Ce sont les deux premières entreprises à avoir sauter le pas en souhaitant volontairement se conformer à ces règles tacites. Très fourni, le fichier est une sorte de tableau Excel comportant les lignes directrices et les accès vers d’autres documents conçus par des ONG, des entreprises ou des organisations gouvernementales. Entre les livres blancs, les règles du W3C et les pratiques instituées par le GSMA ou encore les recommandations des institutions américaines, les entreprises ont de la lecture.
C’est un premier jet pour faciliter l’adoption systématique de la sécurité embarquée. Selon les différents membres du gouvernement britannique et certains cabinets de consultant, la décision est bonne. Cela induit une sorte de pression sur les industriels qui, même s’ils ne sont pas obligés de respecter ce guide, sont soumis aux considérations des consommateurs.
En cas de piratage, ils devront répondre du manque de sécurité de leurs produits devant les autorités et la justice. Ce document sera également une base primordiale pour la publication future de loi concernant la cybersécurité IoT. Le risque, c’est que certains acteurs considèrent que l’allongement du temps de développement est préjudiciable pour leurs activités.
