Les Etats-Unis lancent un label de sécurité informatique pour les objets connectés
Le gouvernement Biden a annoncé le lancement du “US Cyber Trust Mark”, un label en forme de bouclier destiné à rassurer les consommateurs américains lors de l'achat d'un objet connecté. Pour obtenir ce logo, les fabricants d'appareils connectés devront répondre aux critères du NIST, incluant des garanties sur la détection des incidents, sur les mises à jour et la protection des données.
À quelques jours de l'investiture de Donald Trump, l'administration Biden a annoncé le lancement d'un programme volontaire de labellisation des objets connectés, garantissant de hauts standards de cybersécurité. Présenté le 7 janvier, le “US Cyber Trust Mark” doit permettre aux consommateurs américains de prendre des décisions éclairées lors de l'achat d'un objet connecté ou intelligent avant de l'installer chez eux. Il sera déployé au cours de l'année.
Mots de passe robustes, mesures de sécurité sur les mises à jour…
Ce label est conçu pour les appareils grand public, comme les caméras de sécurité domestiques, les téléviseurs, les appareils de fitness, les systèmes connectés de gestion de la climatisation, les assistants vocaux ou encore les babyphones. Les entreprises souhaitant faire certifier leurs produits pourront les soumettre “prochainement” à l'une des 11 entreprises accréditées pour effectuer les tests (Dekra, UL et SGS notamment). Ils devront aussi fournir plusieurs documents pour permettre leur arrivée en rayon dès cette année.
Pour apposer le logo à côté de leur produit, les fabricants devront répondre à certaines exigences du National Institute of Standards and Technology (NIST), agence du département du Commerce américain. Ceci comprend à la fois le recours à des mots de passe par défaut robustes et uniques, des mesures de sécurité sur les mises à jour logicielles, des fonctionnalités de détection des incidents et de protection des données.
Un QR-code à côté de l'étiquette pour guider les consommateurs
Les consommateurs intéressés par cette certification pourront aussi scanner un QR-code à côté de l'étiquette. Celui-ci leur donnera des instructions sur comment modifier un mot de passe par défaut, configurer un appareil en toute sécurité, et fournira des données sur les mises à jour automatiques ou non et sur la durée de garantie. “Des sociétés comme BestBuy ou Amazon mettront en avant les produits labellisés et les consommateurs pourront rechercher des produits portant le label Trust Mark dans les rayons”, précise la Maison Blanche.
Anne Neuberger, conseillère à la sécurité nationale américaine pour la cybersécurité, a également déclaré que l'administration Biden planchait sur un décret obligeant le gouvernement américain à n'acheter que des produits certifiés par ce label à partir de 2027. La deuxième phase de ce programme devrait être consacrée à la sécurisation des routeurs SOHO, très souvent utilisés dans le cadre d'attaques par botnet, comme récemment avec TP-Link.
Les objets connectés distribués en Europe doivent répondre à plusieurs exigences
En Europe, certains objets connectés sont concernés par un cadre juridique établissant des normes de sécurité depuis octobre 2024, avec l'adoption du Cyber Resilience Act (CRA). Les fabricants et distributeurs de produits logiciels ou matériels comportant un élément numérique connecté (téléviseurs, ordinateurs, appareils ménagers, montres, etc…) doivent se plier à trois principales exigences.
Tout d'abord, ils doivent prendre en compte les mécanismes de cybersécurité dès la conception du produit “cyberresilience by design”. Cela comprend des analyses de risques, des procédures d'authentification robuste et de protection des données. D'autres obligations concernent la gestion des vulnérabilités, avec la mise en place de nomenclatures logicielles, de mesures de divulgation publique des vulnérabilités corrigées et de transmission aux autorités compétentes.
Enfin, en fonction du niveau de criticité que présente le produit, les fabricants doivent impérativement mener des auto-évaluations ou certifications externes sur leurs appareils. En cas de non-respect de tout ou partie de ces obligations, les fabricants s'exposent à une amende pouvant atteindre 2,5% de leur chiffre d'affaires ou 15 millions d'euros.
Sélectionné pour vous
SUR LE MÊME SUJET
Les Etats-Unis lancent un label de sécurité informatique pour les objets connectés
Tous les champs sont obligatoires
0Commentaire
Réagir![[Vidéo] Rencontrez Chloé, conceptrice mécanique chez MBDA](/mediatheque/5/4/0/001530045_400x440_c.jpg)
