[NORME IOT] L’ETSI publie la première norme pour la sécurité IoT applicable à l’échelle mondiale

     L’ETSI, un organisme européen de normalisation (ESO), a récemment publié la première norme applicable à l’échelle mondiale pour la sécurité de l’Internet des Objets. Le comité technique sur la cybersécurité de l’ETSI (TC CYBER) a publié : l’ETSI TS 103 645, une norme relative à la cybersécurité de l’IoT qui met en place une base de sécurité pour les dispositifs IoT à destination des consommateurs et des industriels. De plus, cette norme servira de socle aux futurs systèmes de certification IoT. Parmi les objets concernés, on notera notamment « les jouets et moniteurs connectés pour bébé, les produits liés à la sécurité, tels que les détecteurs de fumée et les serrures de porte, les caméras intelligentes, les téléviseurs et les haut-parleurs, les appareils de santé connectés, les systèmes de domotique et d’alarme connectés ou assistants de maison intelligents ».

Les avantages que représentent l’IoT dépendent de la réalisation des produits et des services qui doivent être conçus avec confiance, offrir une confidentialité et une sécurité intégrée. Cette norme répond à ces défis et met en exergue les contrôles techniques et organisationnels qui ont un rôle primordial pour « remédier aux défaillances de sécurité importantes et généralisées ». La spécification impose notamment aux développeurs de ne pas utiliser de mots de passe universels par défaut. De plus, une politique de divulgation des vulnérabilités devra être mise en place afin de permettre aux chercheurs et à d’autres de signaler des problèmes de sécurité.

Selon Luis Jorge Romero, directeur général de l’ETSI, ces spécifications sont dans l’ensemble axées sur les résultats plutôt que sur des règles, pouvant ainsi donner aux organisations la possibilité d’innover et de « mettre en œuvre des solutions de sécurité adaptées à leurs produits ». Enfin, cette norme pourra garantir la conformité des dispositifs IoT – qui traitent et stockent des données personnelles – avec le RGPD.