IoT : Digital Security publie les exigences de sécurité de son label IQS
Eviter les mots de passe par défaut, sécuriser la donnée des actionneurs ou encore spécifier la nature des opérations pour en assurer une traçabilité. Voici 3 des 30 indicateurs de Digital Security pour l'obtention de son label IQS. Cette certification, lancée ce jeudi 20 juin par la filiale d'Econocom, s'applique à l'ensemble de la chaîne de valeur de l'IoT (du device à l'application cloud) et ce pour tous les secteurs, aussi bien pour la domotique, que l'industrie ou la santé. "Nous intégrons également les exigences de chaque pays européen pour que le label soit valable dans l'ensemble de l'Union européenne", souligne Thomas Gayet, directeur du CERT & Audit chez Digital Security.
Digital Security travaille sur ce projet depuis sa création en 2015. Il a fallu plus de deux ans de R&D à l'équipe composée d'une quinzaine de personnes pour étudier les systèmes embarqués (SoC) et déterminer les capacités et les failles de chaque protocole de communication utilisé dans l'IoT. "Les entreprises déploient des technologies sans en connaître les spécificités de sécurité, constate Damien Cauquil, responsable R&D. Par exemple, nous avons étudié deux cadenas connectés de prix identique et utilisant le même protocole : l'un est sécurisé alors que sur l'autre, on peut récupérer le code d'ouverture facilement."
Les équipes de Digital Security, qui ont listé plus de 300 exigences, ont dû les prioriser pour en garder 30. "Nous voulions que le label soit accessible, aussi bien dans sa mise en œuvre que dans son coût, fixé entre 10 000 et 30 000 euros selon les produits", détaille Thomas Gayet. La société vient d'achever une année de tests avec des entreprises du luxe, de la domotique et de l'énergie. Les cinq failles les plus courantes détectées sont liées aux mises à jour non sécurisées, aux mots de passe par défaut, à l'absence de chiffrement des communications, au stockage de données non sécurisés et aux interfaces facilement contrôlables sur la puce.
Le MCO, clé de voûte de l'IoT
Pour Cédric Messeguer, directeur général adjoint, le label offre un moyen aux fabricants de mieux concevoir leurs produits en effectuant la sécurité by design. "La labellisation est un facilitateur de vente et minimise les risques de piratage", assure Thomas Gayet, pour qui la sécurité de l'IoT est encore perçue comme un frein dans les déploiements.
Le sujet de la labellisation d'objets connectés sécurisés gagne en importance. L'Enisa, l'agence européenne de sécurité des réseaux, planche sur une certification pour 2023, et l'association Internet Society présentera ses mesures cet été. Digital Security ouvre son lab sécurité aux visites pour sensibiliser ses clients aux enjeux et ainsi promouvoir son label auprès des acteurs lors de ses audits, formations et services en tant que CERT.
"Les dossiers peuvent être déposés dès à présent. La sécurité des produits sera testée avant qu'un comité indépendant rende sa décision. Les premières labellisations devraient être décernées dans les mois à venir", indique Thomas Gayet, qui recommande de choisir des objets disposant d'une capacité de mise à jour à distance. "Le maintien en condition opérationnelle est la clé de voûte de l'IoT", assure-t-il. Son équipe se penche désormais sur la sécurité des nouveaux protocoles, dont la 5G.