L’Agence européenne ENISA publie ses recommandations sur la sécurité de l’IoT
L’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) publie une étude intitulée « Baseline Security Recommendations for the Internet of Things in the context of critical information infrastructures ». Cette étude a principalement pour objectif de prodiguer aux entreprises d’Europe des conseils pour la sécurité de l’Internet des objets (IoT) en prenant en compte des facteurs tels que la complexité des infrastructures critiques, les cybermenaces existantes et les solutions disponibles pour la protection de systèmes comme l’IoT. Kaspersky Lab, en sa qualité de membre du groupe d’experts IoTSEC de l’ENISA, a participé à l’élaboration du rapport en formulant ses propres recommandations.
Pour faire face à la multiplication des menaces liées à l’IoT et fédérer les compétences en matière de cybersécurité, l’ENISA a réuni un panel d’éminents représentants de plusieurs leaders du marché, parmi lesquels des spécialistes de Kaspersky Lab, afin d’établir des conseils d’experts pour la protection de infrastructures critiques. Dans le cadre de son rapport « Baseline Security Recommendations for IoT », l’Agence a publié des préconisations destinées aux institutions européennes, aux fabricants de matériel pour l’IoT et aux développeurs de logiciels.
Recommandations aux professionnels du secteur pour rendre l’IoT moins vulnérable
Les experts IoTSEC de Kaspersky Lab ont adressé leurs recommandations sur deux fronts – aux responsables politiques européens et aux concepteurs de matériel et logiciels pour l’IoT.
Pour ceux qui travaillent directement avec les systèmes IoT, les experts de Kaspersky Lab conseillent les précautions suivantes afin d’en renforcer la sécurité :
- Veiller à ce que tous les employés actualisent et valident constamment leurs connaissances et compétences en cybersécurité
- Assurer l’interopérabilité des données avec un système fiable et automatique de correctifs. Les fabricants de matériel et développeurs de logiciels IoT doivent adopter des politiques de gestion du risque pour leur chaîne logistique et communiquer leurs exigences de cybersécurité à leurs fournisseurs et partenaires
- Procéder à un examen du code au cours du processus de mise en œuvre afin de réduire le nombre de bogues dans la version finale d’un produit, tout en identifiant toute tentative d’intrusion malveillante ou de contournement de l’authentification
A l’attention des responsables politiques européens, ils formulent les conseils suivants :
- Se focaliser sur des recommandations, directives et exigences de certification sectorielles plutôt que sur des approches globales
- Instaurer une normalisation dans l’ensemble de l’UE et définir une terminologie et une taxonomie de l’IoT à l’échelle européenne pour des normes internationales de cybersécurité
- Coopérer activement avec les entreprises et associer le secteur privé à la définition des politiques en s’appuyant sur des associations et groupes industriels existants tels que l’AIOTI
- Mettre en place un système de défense à plusieurs niveaux contre les cybermenaces, extrêmement pertinent pour les équipements IoT
L’ENISA, l’Agence européenne chargée de la sécurité des réseaux et de l’information, est un centre d’expertise en matière de cybersécurité en Europe. Ayant son siège à Héraklion en Crète et disposant d’un bureau opérationnel à Athènes en Grèce, l’Agence travaille en étroite collaboration avec les Etats membres et le secteur privé afin de leur fournir des conseils et des solutions. Ses activités consistent à organiser des exercices de cybersécurité dans toute l’Europe, à contribuer à l’élaboration des stratégies nationales en matière de cybersécurité, à stimuler la coordination entre les équipes d’intervention en cas d’urgence informatique (CSIRT) et le renforcement des capacités, mais aussi à publier des études sur la sécurisation du cloud, sur la protection des données, sur les technologies renforçant la protection et garantissant le respect de la vie privée, sur l’identification électronique et les services électroniques de confiance, sur la détection des cybermenaces, etc. L’ENISA aide également à élaborer la politique et la législation de l’Union sur la sécurité des réseaux et de l’information.
La liste complète des conseils pour la protection des infrastructures critiques de l’IoT figure dans l’étude de l’ENISA que vous pouvez télécharger gratuitemen en cliquant sur ce lien.