L’ETSI publie la première norme applicable à l’échelle mondiale pour la sécurité IoT grand public

Le comité technique sur la cybersécurité de l’ETSI (TC CYBER) vient de publier l’ETSI TS 103 645, une norme relative à la cybersécurité dans l’internet des objets, qui établit une base de sécurité pour les produits grand public connectés à Internet et sert de base aux futurs systèmes de certification IoT.

Alors que de plus en plus d’appareils domestiques se connectent à Internet, la cybersécurité de l’Internet des objets (IoT) devient une préoccupation croissante. Les personnes confient leurs données personnelles à un nombre croissant d’appareils et de services en ligne. De plus, les produits et les appareils qui étaient traditionnellement hors ligne sont en train de devenir connectés et doivent être conçus pour résister aux cyber-menaces. Des produits mal sécurisés menacent la vie privée des consommateurs et certains appareils sont exploités pour lancer des cyberattaques à grande échelle DDoS (Distributed Denial of Service).

La nouvelle spécification de l’ETSI, TS 103 645, aborde ce problème et spécifie des dispositions de haut niveau pour la sécurité des appareils grand public connectés à Internet et leurs services associés. Les objets IoT concernés comprennent les jouets et moniteurs pour bébé connectés, les produits liés à la sécurité, tels que les détecteurs de fumée et les serrures de porte, les caméras intelligentes, les téléviseurs et les enceintes connectées, les appareil de suivi de santé portables, les systèmes de domotique et d’alarme connectés, les appareils électroménagers connectés (machines à laver, réfrigérateurs) ou encore les assistants de maison intelligents.

« Les avantages potentiels de l’IoT ne seront réalisés que si les produits et services sont conçus avec une confiance, une confidentialité et une sécurité intégrées, de sorte que les consommateurs se sentent en sécurité et sûrs de les utiliser. Nous sommes heureux d’avoir contribué à l’élaboration d’une norme qui met l’accent sur les contrôles techniques et organisationnels qui importent le plus pour remédier aux défaillances de sécurité. Il devrait s’agir d’une spécification décisive pour les consommateurs et l’industrie », a déclaré Stephen Russell, secrétaire général de l’ANEC, l’organisation représentant les consommateurs dans la normalisation, et membre de l’ETSI.

Le standard TS 103 645 impose aux développeurs de renoncer à l’utilisation de mots de passe universels par défaut, sources de nombreux problèmes de sécurité. Cela nécessite également la mise en œuvre d’une politique de divulgation des vulnérabilités afin de permettre aux chercheurs en sécurité et à d’autres de signaler les problèmes de sécurité.

« Les parties prenantes à tous les niveaux ont travaillé ensemble pour s’assurer que les spécifications étaient axées sur les résultats plutôt que sur des règles, donnant aux entreprises la possibilité d’innover et d’appliquer des solutions de sécurité adaptées à leurs produits », a déclaré Luis Jorge Romero, directeur général de l’ETSI. « Nous sommes très fiers de publier une norme qui était hautement nécessaire pour les consommateurs et la société en général ».

Comme de nombreux dispositifs et services IoT traitent et stockent des données personnelles, cette spécification peut aider à garantir leur conformité avec le règlement général sur la protection des données (GDPR).

Organisme à but non lucratif comptant plus de 850 organisations membres dans le monde entier, provenant de 64 pays et des cinq continents, l’ETSI offre à ses membres un environnement ouvert pour soutenir le développement, la ratification et le test de normes applicables dans le monde entier pour les systèmes, applications et services basés sur les TIC dans tous les secteurs de l’industrie et de la société. L’ETSI est l’un des trois seuls organismes officiellement reconnus par l’UE en tant qu’organisme européen de normalisation (ESO).

Plus d’infos sur le standard TS 103 645