De plus en plus d'appareils sont connectés à Internet, non seulement dans le secteur privé, mais aussi dans l'industrie. Cela rend la production plus efficace et de plus en plus automatisée, ce qui réduit les coûts et la main-d'œuvre. L'Internet des objets (IoT - Internet of Things) se répand donc rapidement et le nombre d'appareils connectés augmente de manière significative.
Mais avec la dépendance croissante aux appareils IoT, le besoin de mesures de cybersécurité solides est devenu encore plus urgent. Les législateurs l'ont reconnu. Pour protéger les données importantes stockées sur ces appareils, les gouvernements du monde entier ont introduit des réglementations visant à améliorer la sécurité standard des appareils IoT. À quoi devez-vous faire attention ? Un regard sur la réglementation aide.
Réglementations IoT dans l'UE et aux États-Unis
Aux États-Unis, l'IoT Cybersecurity Improvement Act a été adopté en 2020 et le National Institute of Standards and Technology (NIST) a été chargé de créer une norme pour les appareils IoT. En mai 2021, l'administration Biden a adopté un décret exécutif pour améliorer la sécurité informatique nationale. Puis, en octobre 2022, la Maison Blanche a publié une brochure introduisant une étiquette pour les appareils IoT, à commencer par les routeurs et les caméras domestiques, pour indiquer leur niveau de sécurité et le rendre visible en un coup d'œil.
Dans l'Union européenne, le Parlement européen a introduit la loi sur la cybersécurité et la loi sur la cyber-résilience, qui imposent plusieurs exigences aux fabricants avant qu'un produit puisse être marqué CE et mis sur le marché européen. Cela comprend les étapes d'évaluation et de rapport ainsi que la gestion des cyberattaques ou des vulnérabilités tout au long du cycle de vie du produit. Le règlement général sur la protection des données (RGPD) s'applique également aux entreprises opérant dans l'UE et les oblige à mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles.
éléments clés
Afin de se conformer à la réglementation, les fabricants doivent mettre en œuvre les éléments clés suivants :
- Mises à jour de logiciel: Les fabricants doivent offrir la possibilité de mises à jour du firmware et garantir la validité et l'intégrité des mises à jour, notamment les correctifs de sécurité.
- Protection des données: La réglementation suit le concept de "minimisation des données", c'est-à-dire que seules les données nécessaires sont collectées avec le consentement de l'utilisateur, mais les données sensibles sont stockées de manière sécurisée et cryptée.
- l'évaluation des risques: Les développeurs doivent mener une gestion des risques pendant la phase de conception et de développement et tout au long du cycle de vie du produit, notamment en analysant les CVE (Common Vulnerabilities and Exposures) et en publiant des correctifs pour les nouvelles vulnérabilités.
- configuration de l'appareil: Les appareils doivent être publiés avec une configuration de sécurité par défaut qui supprime les composants dangereux, ferme les interfaces lorsqu'elles ne sont pas utilisées et minimise la surface d'attaque des processus grâce au « principe du moindre privilège ».
- Authentification et autorisation: Les services et les communications doivent nécessiter une authentification et une autorisation, avec une protection contre les attaques de connexion par force brute et une politique de complexité des mots de passe.
- Communication sécurisée: Les communications entre les actifs IoT doivent être authentifiées, chiffrées et utiliser des protocoles et des ports sécurisés.
Cependant, le respect de ces réglementations peut être difficile en raison de leur complexité. Pour simplifier le processus, diverses certifications et normes telles que UL MCV 1376, ETSI EN 303 645, ISO 27402 et NIST.IR 8259 ont été introduites pour décomposer la réglementation en étapes pratiques.
Les entreprises qui souhaitent protéger leurs appareils IoT contre les menaces imminentes doivent donc utiliser des solutions qui sécurisent leurs appareils avec un minimum d'effort et incluent un service d'évaluation des risques qui peut être intégré dans un appareil IoT. De cette manière, un appareil peut être protégé contre les menaces informatiques pendant toute sa durée de vie. Dans le meilleur des cas, la solution devrait nécessiter un minimum de ressources et pouvoir être intégrée dans un produit sans avoir à modifier le code. De cette façon, les appareils IoT peuvent fonctionner en toute sécurité et en tirer pleinement parti.
Plus sur Checkpoint.com
À propos du point de contrôle Check Point Software Technologies GmbH (www.checkpoint.com/de) est l'un des principaux fournisseurs de solutions de cybersécurité pour les administrations publiques et les entreprises du monde entier. Les solutions protègent les clients contre les cyberattaques avec un taux de détection des logiciels malveillants, des rançongiciels et d'autres types d'attaques à la pointe du secteur. Check Point propose une architecture de sécurité multicouche qui protège les informations de l'entreprise sur le cloud, le réseau et les appareils mobiles, ainsi que le système de gestion de la sécurité « à un seul point de contrôle » le plus complet et le plus intuitif. Check Point protège plus de 100.000 XNUMX entreprises de toutes tailles.