Le comité technique ETSI TC CYBER a récemment publié la spécification technique ETSI TS 103 645, sur la cybersécurité des dispositifs IoT grand public qui vise à établir des lignes directrices de sécurité pour les produits grand public connectés à Internet et qui pourrait servir de base à de futurs systèmes de certification des dispositifs Internet of Things (IoT).
Avec le développement de l’IoT, un nombre toujours plus important d’objets sont connectés à Internet et communiquent entre eux, soulevant de nombreux problèmes de sécurité et de confidentialité dans l’écosystème IoT. Dans ce contexte, les produits et les appareils qui fonctionnaient auparavant hors ligne doivent désormais être conçus pour résister aux menaces de cybersécurité, telles que les cyber-attaques à grande échelle par déni de service DDoS (Distributed Denial of Service) ou le vol de données personnelles.
L’Institut européen des normes de télécommunications (ETSI) aborde cette problématique dans sa nouvelle spécification technique - ETSI TS 103 645 - et spécifie des dispositions de haut niveau pour la sécurité des produits grand public connectés, tels que les jouets et moniteurs connectés pour bébé, les caméras intelligentes, les téléviseurs connectés, les dispositifs de suivi de santé portables, les systèmes de domotique et d'alarme connectés, les réfrigérateurs connectés, etc.
Plusieurs dispositions relatives à la cybersécurité ont ainsi été définies dans ce document afin de se prémunir des menaces potentielles. Il fournit principalement des bonnes pratiques aux organisations impliquées dans le développement et la fabrication des dispositifs connectés destinés au grand public. La spécification technique impose par exemple aux développeurs de ne plus utiliser les mots de passe par défaut pour se connecter à ces dispositifs, une faille très simple qui a permis la mise en œuvre d’attaques à grande échelle récemment. Elle requière également qu’ils mettent en œuvre une politique de divulgation des vulnérabilités afin que les problèmes de sécurité puissent être identifiés et signalés, par les chercheurs en sécurité par exemple.
En outre, cette spécification devrait également contribuer à garantir que le traitement et le stockage des données à caractère personnel soient conformes au règlement général de l'UE sur la protection des données (GDPR).
Pour plus d'informations sur la spécification technique ETSI TS 103 645, vous pouvez consulter le communiqué de presse de l’ETSI.
La normalisation technique IoT au niveau national
Le Luxembourg participe activement à la normalisation technique de l’IoT via son comité d’étude national ISO/IEC JTC 1/SC 41 Internet of Things and related technologies. L’ILNAS suit également de près l’évolution des normes de l’ETSI et collabore activement avec cet institut dans le cadre de ses développements en matière d’éducation à la normalisation.
Pour en savoir plus sur la normalisation des TIC et sur les comités techniques de normalisation Smart ICT, vous pouvez vous rendre sur cette page dédiée au secteur des TIC.
Vous souhaitez participer au développement des normes techniques ?
Afin de promouvoir la normalisation au Luxembourg, l’ILNAS offre aux acteurs nationaux une participation gratuite aux comités techniques de normalisation. L’inscription à ces comités techniques permet notamment de participer activement à la création des normes, de suivre les développements pour anticiper les futures exigences, mais également de faire partie d’un réseau international d’experts d’un même domaine. Pour vous inscrire, il vous suffit de soumettre une demande d’inscription à l’Organisme luxembourgeois de normalisation par e-mail à l’adresse normalisation@ilnas.etat.lu.