La sécurité IoT est un enjeu de taille pour les gouvernements. Le Sénat américain effectue un premier pas en examinant un projet de loi concernant l’adoption de l’internet des objets par les autorités fédérales.
Les cyberattaques se sont multipliées. Entre l’année dernière et aujourd’hui, les objets connectés ont été compromis dans de nombreuses affaires, à cause des fabricants peu conscients des risques ou peu scrupuleux dans les pires des cas. Un groupe de sénateurs américains veulent remédier à ce problème en légiférant autour de la sécurité IoT.
C’en est assez pour ce groupe de sénateurs américains bipartisans. Les cyberattaques de type DDoS lancé à partir d’objets connectés ont frappé très fort. Le malware Mirai et ses effets sur les grands clients du fournisseur de DNS Dyn a contribué à un réveil législatif de la part des autorités.
Renforcer la sécurité IoT des infrastructures gouvernementales
En effet, ils ont proposé mardi un projet de loi concernant la sécurité IoT des produits utilisés par le gouvernement américain. L’objectif est d’obliger les fournisseurs et les constructeurs d’objets connectés à respecter les standards de sécurité conformes à leurs industries et d’ajouter la possibilité de mettre à jour leurs objets connectés.
Surtout, les sénateurs veulent interdire les constructeurs de conserver des mots de passe codés en dur et non modifiables dans leurs systèmes embarqués. Car oui, cette proposition nommée Internet of Things Cybersecurity Improvement Act destinée à la sécurité IoT s’intéresse aussi aux systèmes présents dans des voitures connectées ou autonomes.
Autre point important, les produits et les infrastructures connectées vendus au gouvernement américain devraient être certifiés zéro vulnérabilité. A la charge des agences gouvernementales de réaliser des audits obligatoires si elles utilisent des objets connectés dans le cadre de leur mission.
Faciliter la vigilance des professionnels de la sécurité IoT
Si le texte se concentre sur les produits utilisés par le gouvernement américain, il s’agit d’un premier pas appréciable qui permettra d’instaurer les standards dans les milieux industriels.
A cela s’ajouterait une plus grande liberté donnée aux hackers blancs et aux cabinets de sécurité afin de trouver les failles de sécurité IoT. Le Computer Fraud and Abuse Act serait allégé, au grand dam de certaines entreprises peu regardantes concernant la protection de leurs appareils.
Il reste maintenant à constater si les discussions autour du texte de loi aboutissent sur une véritable amélioration de la sécurité IoT ou une “mesurette” affaiblit par les demandes des lobbies.
