La semaine dernière, un groupe bipartisan du Caucus de cybersécurité du Sénat américain a proposé un nouveau texte de loi intitulé "Internet of Things Cybersecurity Improvement Act of 2017" (loi sur l'amélioration de la cybersécurité de l'internet des objets). Bien que le projet de loi n'ait pas encore été ratifié, il met davantage l'accent sur la sécurisation des milliards d'appareils qui bénéficieront d'une connectivité réseau et internet au cours des prochaines années.
Le CSS est tout à fait favorable à cette législation. Bien que nous soyons heureux de voir la stratégie et les fonds alloués à l'amélioration de la sécurité deIoT dans certains segments de l'industrie tels que l'automobile, le médical et l'internet industriel, dans la plupart des cas, les pratiques de sécurité faibles l'emportent sur les pratiques fortes. Il existe beaucoup trop de scénarios IoT dans lesquels les vendeurs ne sont tout simplement pas motivés pour consacrer du temps ou de l'argent supplémentaire à la sécurisation des appareils, et où les consommateurs ne voient pas l'intérêt de payer pour cette sécurité supplémentaire. Le botnet Marai est un excellent exemple des ramifications de ce problème. Et lorsque la dynamique normale du marché libre ne conduit pas à l'adoption de mesures de sécurité appropriées, la législation peut devenir la seule option dans certains segments du marché.
Pour ceux qui n'ont pas lu la législation, voici quelques informations rapides, basées sur ma lecture du projet de loi :
Quels sont les appareils couverts ?
Ce projet de loi ne couvre que les appareils connectés à l'internet achetés par les agences fédérales. Toutefois, il est probable qu'il y aura également un impact collatéral sur les appareils des consommateurs et du secteur privé, car de nombreux appareils seraient achetés par des organisations des secteurs public et privé. En outre, ce type de législation fédérale peut servir de modèle pour de futures réglementations dans des domaines plus spécifiques.
Quelles sont les exigences imposées aux dispositifs IoT ?
Les principales dispositions du projet de loi sont assez simples :
- Les dispositifs ne doivent pas présenter de vulnérabilités ou de défauts de sécurité connus.
- Les appareils doivent pouvoir être mis à jour en toute sécurité, en temps voulu, à l'aide des correctifs autorisés par le fournisseur. Il s'agit bien sûr d'une nécessité pour répondre au point 1, car de nouvelles vulnérabilités sont découvertes. L'autorisation des mises à jour et des correctifs est un domaine dans lequel les responsables de la mise en œuvre de IoT n'ont pas été à la hauteur dans le passé.
- Les dispositifs ne doivent utiliser que des protocoles et des technologies standard pour le cryptage, l'authentification et les communications.
- Les appareils ne doivent pas contenir d'identifiants administratifs codés en dur. Cela devrait être une évidence, mais c'est probablement la cause la plus importante des "histoires d'horreur" de IoT jusqu'à présent.
Chaque appareil doit-il répondre à ces exigences ?
Le projet de loi tient compte des dispositifs dont les fonctionnalités sont "très limitées" et permet même l'achat de dispositifs non conformes, à condition que des contrôles de sécurité supplémentaires soient mis en place pour atteindre un niveau de sécurité similaire.
Le projet de loi met également en place les prémices d'un écosystème de sécurité autour des dispositifs IoT , avec des dispositions telles que
- Identifier les rôles des contractantstiers qui peuvent vérifier les dispositifs par rapport aux normes,
- Protections pour les chercheurs en sécurité qui essaient de trouver des faiblesses dans les appareils et en informent les vendeurs,
- Lignes directrices à l'intention des fournisseurs concernant la divulgation en temps utile et la correction des vulnérabilités lorsqu'elles sont découvertes.
Toutes ces dispositions sont judicieuses et reflètent à bien des égards la manière dont les analyses de sécurité et les correctifs plus conventionnels de software sont gérés depuis un certain temps. Pour l'instant, ce projet de loi est simplement un premier pas, petit mais bon. Et tout ce qui attire l'attention sur l'amélioration de la sécurité de IoT est une bonne chose.
