Loi européenne sur la cyber-résilience de l’IoT : la mise en œuvre demande réflexion

0

Les objets connectés sont souvent considérés comme le maillon faible de la cybersécurité au sein des entreprises, il n’est donc pas surprenant que l’Union Européenne discute dans les prochains jours d’une proposition de loi dans le cadre du Cyber Resilience Act. L’objectif est d’établir des normes de cybersécurité et des procédures d’évaluation de conformité plus strictes pour les objets connectés.

Selon Ilona Simpson, DSI EMEA chez Netskope, une telle réglementation est nécessaire, mais doit être réfléchie en détail, et sa mise en place doit tenir compte de la capacité de l’écosystème industriel – dont la fabrication, la supply chain et la vente au détail – à l’adopter :

« Des téléviseurs aux montres, aux réfrigérateurs, aux ampoules ou encore aux machines à café, il semble que tout objet doit être désormais connecté pour être commercialisable. Tous ces appareils rejoignent alors un environnement IoT en croissance exponentielle. Le problème est que ce secteur n’a dû se conformer à aucune réglementation en matière de cybersécurité à date, et les cybercriminels le savent bien, puisqu’ils ont mené par le passé des attaques significatives ; en exploitant par exemple des machines à café pour atteindre les réseaux informatiques d’entreprises, auxquels ces appareils étaient connectés.

Des normes de cybersécurité de base pour tous les appareils connectés, ainsi que des procédures d’évaluation de conformité plus strictes pour les produits critiques, sont donc indispensables. Mais cette proposition soulève de nombreuses questions : s’il est bénéfique que les éditeurs aient à évaluer la sécurité des objets connectés sur le point d’être commercialisés, qu’en est-il des produits déjà présents sur le marché ? Et qu’adviendra-t-il si cela coûte trop cher pour que les petits fabricants le fassent de manière réfléchie ?

De plus, dans l’éventualité où les vulnérabilités connues des appareils connectés seront listées, les consommateurs et les entreprises devront être sensibilisés, afin d’être en mesure de faire des choix éclairés en fonction des informations partagées et des risques induits. Du côté de l’offre, les organisations seront confrontées non seulement au défi de concevoir, acquérir, mettre en œuvre et déployer une pile technologique adéquate, mais également de s’assurer qu’elles disposent des processus et des ressources pour maintenir leurs activités.

Dans le passé, l’UE avait choisi d’opter pour l’entrée en vigueur de législations similaires en une seule fois, avec une date unique de mise en conformité ; comme ce fut le cas pour le RGPD. Mais il serait judicieux d’apprendre des fonctions technologiques et informatiques de l’industrie. Il faut en effet s’assurer que l’objectif final est clair pour tous, en commençant par un produit minimum viable ou une approche de type « pilote ». Il est ainsi préférable de laisser le temps à tout le monde d’apprendre et de se familiariser avec la nouvelle réglementation, y compris le régulateur lui-même, en commençant par une catégorie de produit en particulier – telle que les ordinateurs et les tablettes – ou en examinant les exigences minimales si cela est viable.

Enfin, le règlement final doit être clair et très précis quant aux responsabilités qui incombent à chacun des acteurs. En effet, la proposition actuelle indique : « Des obligations seront établies pour les différents acteurs commerciaux, des fabricants aux distributeurs et importateurs, en ce qui concerne la mise sur le marché de produits contenant des éléments numériques, en fonction de leur rôle et de leurs responsabilités dans la supply chain » ; or, la majeure partie de ces objets connectés opère dans des écosystèmes de R&D, de fabrication et de supply chain assez complexes. De plus, le projet exige un « niveau de cybersécurité approprié », ce qui ne semble pas suffisamment clair et concis pour ne pas engendrer de vides juridiques ou voir les parties prenantes se rejeter la faute à l’avenir quant à un manque de sécurisation. »

Tribune par Ilona Simpson, DSI EMEA chez Netskope.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.