L'ETSI, l'Institut européen des normes de télécommunications, a publié récemment la norme EN 303 645. Cette spécification pour la cybersécurité dans l'internet des objets (IoT) constitue une norme de sécurité de base pour les produits de consommation connectés à internet et servira de base à de futurs systèmes de certification IoT.


Alors que de plus en plus d'appareils domestiques se connectent à Internet, la cybersécurité de l'Internet des objets (IoT) devient une préoccupation croissante. Les personnes confient leurs données personnelles à un nombre croissant d'appareils et de services en ligne. De plus, les produits et les appareils qui étaient traditionnellement hors ligne sont en train de devenir connectés et doivent être conçus pour résister aux cyber-menaces. Des produits mal sécurisés menacent la vie privée des consommateurs et certains appareils sont exploités pour lancer des cyberattaques à grande échelle DDoS (Distributed Denial of Service). 

La norme EN 303 645 aborde ce problème et spécifie 13 dispositions (voir tableau 1 ci-dessous) pour la sécurité des équipements connectés à l'internet des consommateurs et des services associés, ainsi que cinq dispositions sur la protection des données. Les produits IoT entrant dans le champ d'application comprennent les produits connectés importants pour la sécurité tels que les détecteurs de fumée et les serrures de porte, les systèmes domotiques et d'alarme connectés, les caméras intelligentes, les téléviseurs, les appareils connectés (par exemple, les machines à laver, les réfrigérateurs), les jouets connectés et les moniteurs pour bébés. 

Tableau 1 : Cybersecurity provisions for consumer IoT

No universal default passwords

Implement a means to manage reports of vulnerabilities

Keep software updated

Securely store sensitive security parameters

Communicate securely

Minimize exposed attack surfaces

Ensure software integrity

Ensure that personal data is secure

Make systems resilient to outages

Examine system telemetry data

Make it easy for users to delete user data

Make installation and maintenance of devices easy

Validate input data

 

Téléchargez la spécification ETSI EN 303 645 “Cyber Security for Consumer Internet of Things: Baseline Requirements”