Sécurité des objets connectés : l’Enisa penche pour la réglementation

L’agence européenne pour la sécurité des réseaux et de l’information (Enisa) vient de rendre publique sa position sur la sécurité des objets connectés. Etablie avec Infineon, NXP et STMicroelectronics, cette position se veut un « reflet des préoccupations de l’industrie » et un recueil de suggestions à l’intention notamment de la Commission européenne.

Et l’agence prend là résolument la voie de la régulation. Elle recommande ainsi de « définir un cadre réglementaire pour assurer des exigences de sécurité minimales pour les objets connectés ». Plus précisément, l’Enisa estime nécessaire de tenir compte des cadres réglementaires en vigueur ou à venir, comme la directive NIS ou encore le RGPD, et de « couvrir ce qui est essentiel à la confiance, par exemple des règles pour l’authentification/autorisation », que l’on parle de systèmes « simples comme les thermostats intelligents » ou d’objets plus complexes. L’agence suggère également la mise en place d’un « label de confiance européen » basé sur des mécanismes de certification.

L’Enisa appelle également à une assurance de la mise en place de processus et services pour accompagner l’industrie dans la mise en œuvre de fonctionnalités de sécurité dans les produits connectés – « par exemple en informant et en formant aux solutions de sécurité à l’état de l’art ».

L’approche de l’agence européenne renvoie directement à l’appel de Bruce Schneier, directeur technique d’IBM Resilient, lancé à l’automne dernier devant les parlementaires américains. A l’époque, il s’était clairement prononcé en faveur de réglementations imposées par les gouvernements. Il estimait alors que l’on observe « un échec fondamental du marché » qui a « donné la priorité aux fonctions et aux coûts au détriment de la sécurité ». Car pour lui, « les risques sont trop grands, les enjeux sont trop élevés ». Surtout, « le marché ne va pas [améliorer la sécurité des objets connectés], parce que ni l’acheteur ni le vendeur ne s’en préoccupent. Le marché tend à ne pas corriger les problèmes de sûreté ou de sécurité sans intervention des gouvernements ».

Une table ronde, organisée lors de la conférence RSA, au mois de février, a été l’occasion de mesurer l’importance de l’enjeu : pour une large majorité de participants, l’industrie des objets connectés n’est pas en mesure de se réguler elle-même. Mais Craig Spiezle, directeur général et président de l’Online Trust Alliance, posait alors une question : « comment pousser à l’adoption [de normes de sécurité pour les objets connectés ? Où est la motivation ? »

L’Enisa semble l’avoir entendu et apporte sa réponse : « un bonus à la sécurité numérique » viendrait récompenser « l’implémentation de solutions de sécurité, en particulier dans les secteurs non régulés, comme l’Internet industriel, ou la maison connectée ». Et là, « une assurance cybersécurité obligatoire pour objets connectés pourrait stipuler cette approche ». Gageons que le secteur de l’assurance n’y trouverait pas grand-chose à redire. D’autant plus que cela contribuerait à lui offrir une étendue de base installée propre à absorber l’effet multiplicateur d’Internet dans la gestion des risques propres au numérique.