La loi sur la cybersécurité de l'IoT impose la responsabilité de la sécurité aux fabricants d'appareils

L’IoT Cybersecurity Act est un bon début pour les professionnels de l’IoT souhaitant mettre en œuvre davantage de fonctionnalités de sécurité sur les appareils. Cependant, sécuriser les actifs grâce à des mesures proactives, notamment des évaluations de vulnérabilité et des programmes de divulgation, sont des options qui pourraient soutenir la communauté des constructeurs au sens large dans la lutte contre les mauvais acteurs.

Promulguée en décembre 2020, la législation bipartite force tout appareil Internet des objets (IoT) acheté avec l’argent du gouvernement à respecter les normes minimales de sécurité.

Même si la loi signifie que les gouvernements peuvent s'attendre à des appareils IoT plus sécurisés, il incombe aux constructeurs et aux fabricants d'appareils de renforcer la sécurité des appareils.

Les constructeurs doivent agir maintenant pour sécuriser les appareils

La mise en œuvre de mesures de sécurité est devenue plus essentielle pour ceux qui fournissent le gouvernement, même si le paysage plus large de l'IoT est parfois qualifié de Far West en raison de son manque de normes de sécurité communes et rigoureuses.

Malgré cela, il est extrêmement important que les fabricants d’appareils mettent en œuvre dès maintenant des mesures de cybersécurité, a souligné Colin Duggan, fondateur et PDG de la société de logiciels de sécurité IoT BG Networks. Il a averti que les appareils IoT sont des cibles privilégiées pour les activités malveillantes.

Il ne fait absolument aucun doute qu’aujourd’hui et à l’avenir, les criminels et les États-nations antagonistes recherchent et exposent les faiblesses des appareils IoT connectés en réseau – tout comme ils exposent actuellement les faiblesses des systèmes informatiques, a-t-il déclaré.

Duggan a suggéré que les acteurs malveillants testent constamment les limites de leurs cibles. Piratage de la caméra de sécurité Verkadas soulignent que ces acteurs n’ont pas besoin d’une intention motivante claire, car un prétendu point de vue idéologique a motivé le désir de pénétrer dans les appareils.

Le National Institute of Standards and Technology (NIST) des États-Unis a présenté les Cadre de cybersécurité, mais il ne s’agit pas d’une approche universelle.

Les constructeurs et les fabricants d'appareils doivent noter que certains appareils doivent être plus sécurisés que d'autres : soit les données qu'ils contiennent sont plus sensibles, soit des violations pourraient entraîner des problèmes potentiels de sécurité ou de fonctionnement, car de nombreux appareils IoT contrôlent des choses et des actions physiques, a déclaré Duggan.

Yaniv Nissenboim, vice-président du développement commercial chez Vdoo, a fait écho à Duggan, indiquant que les fabricants d'appareils devraient commencer à « se conformer à ces directives dès maintenant » afin d'être prêts à agir et à les atténuer une fois que les nouvelles réglementations prendront réellement forme.

Impact à long terme de la loi sur la cybersécurité de l'IoT

À court terme, la cybersécurité des appareils IoT ne sera plus considérée comme une réflexion secondaire, le marché privé étant donné une lumière brillante dans le ciel à suivre comme exemple.

L'impact à long terme de la loi oblige toutefois les fabricants d'appareils à réfléchir sérieusement à la mise en œuvre de la sécurité.

Brian Carpenter, directeur du développement commercial chez CyberArk, a souligné que les fabricants et constructeurs d'appareils devraient réfléchir à la manière dont ces réglementations en attente seront appliquées et à la manière dont les clients peuvent gérer et sécuriser les connexions vers et depuis les appareils IoT.

« Les clients… ne veulent pas de solutions de sécurité plus cloisonnées qui gèrent une partie de leurs risques : ils ont besoin d’une vue unique de leurs risques pour les gérer correctement », a déclaré Carpenter.

Les constructeurs d'IoT qui créent des appareils dotés de mesures accrues et efficaces, telles que des mises à jour sécurisées du micrologiciel, des correctifs et une gestion des identités, seront en mesure de s'adapter aux stratégies d'atténuation des risques de leurs clients et d'acquérir un avantage concurrentiel, a-t-il déclaré.

Les constructeurs et les fabricants d’appareils n’étaient pas au centre de cette législation – après que les politiciens bipartites américains ont apporté une pléthore de changements réglementaires visant à empêcher les pays voyous d’interférer avec l’infrastructure technologique du pays. Même si ce problème s'est aggravé au fil du temps, plusieurs textes législatifs visant à limiter les ravages causés par des phénomènes comme Russie, Chine, l'Iranet Corée du Nord, ce changement particulier aidera certainement les constructeurs à long terme.

En fournissant des lignes directrices sur ce qui constitue une sécurité renforcée, les fabricants devront en fin de compte répondre aux besoins des clients, les lignes directrices du NIST étant susceptibles de se transformer en une nouvelle législation, soit au niveau fédéral, soit au niveau des États, a suggéré Carpenter.

Une définition large est une bonne définition

Duggan a déclaré que la définition de la législation pour les appareils IoT « est bonne car les appareils dotés d’interfaces réseau peuvent potentiellement ajouter des vulnérabilités au réseau ».

La loi sur la cybersécurité de l’IoT définition de ce qui constitue un appareil IoT stipule : un appareil doit « avoir au moins un transducteur (capteur ou actionneur) pour interagir directement avec le monde physique, avoir au moins une interface réseau ».

Duggan a déclaré que cela signifie que la loi ratisse large tout en étant clair que les smartphones ou les ordinateurs portables ne sont pas inclus car « la mise en œuvre de fonctionnalités de cybersécurité est déjà bien comprise ».

La limitation qu'il a soulignée concernait cependant l'absence d'un mandat spécifique qui obligerait les agences gouvernementales à ajouter de la cybersécurité aux appareils.

Duggan renvoyé devant la Commission économique des Nations Unies pour l'Europe (CEE-ONU) WP.29 réglementation automobile, qui stipule que d'ici juillet 2024, tous les véhicules nouvellement produits doit inclure la cybersécurité basée sur une approche de sécurité dès la conception et sont capables d'effectuer des mises à jour logicielles.

Il a décrit la loi sur la cybersécurité de l’IoT « pas aussi stricte que les exigences de la CEE-ONU » et qu’en termes d’amélioration de la sécurité, s’aligner sur ce que fait la CEE-ONU serait une bonne étape. « Ce règlement [UNECE] oblige le secteur automobile à mettre en œuvre largement la cybersécurité nécessaire dans les voitures », a-t-il ajouté.

En ce qui concerne les autres limitations imposées aux fabricants et constructeurs d'appareils, Nissenboim a rappelé que la loi s'applique uniquement aux entreprises vendant des appareils IoT au gouvernement fédéral. Malgré cela, il a admis que les gouvernements des États et les entreprises privées chercheront également à adopter ses principes et lignes directrices.

"En outre, un nombre croissant de normes et de réglementations internationales en matière de cybersécurité pour l'IoT sont en cours d'élaboration", a-t-il déclaré, ajoutant que ces réglementations contribueront à imposer des niveaux de sécurité plus élevés aux milliards d'appareils connectés produits chaque année dans divers secteurs.

Problèmes restant à résoudre avec la loi sur la cybersécurité de l'IoT

Même si la réglementation a été saluée par les observateurs, des problèmes subsistent pour les fabricants et les constructeurs d'appareils, en particulier ceux qui ne vendent pas leurs appareils au gouvernement américain.

Les constructeurs doivent prendre du recul pour évaluer les implications continues de la loi. Même si la loi ne les oblige pas à mettre en œuvre des évaluations de sécurité sur les appareils, mais à mesure que le nombre d’attaques monte en flèche, des directives peuvent s’avérer nécessaires pour éviter les violations.

Nissenboim a déclaré que ces analyses et cette surveillance devront être automatisées et gérées par les acteurs de la sécurité des produits et de l'ingénierie qui devront prendre en charge ces processus importants.

Carpenter de CyberArk a averti que les connexions à distance aux appareils IoT constituent toujours un défi majeur en termes de mises à jour du micrologiciel, de gestion des informations d'identification et de maintenance.

Carpenter a exprimé l'espoir de voir certaines questions liées à ces questions actuellement non réglementées dans les lignes directrices finales ; « d’autant plus que la main-d’œuvre continue de proliférer », a-t-il ajouté.