L'industrie s'empare de la première norme européenne pour sécuriser l'IoT grand public

L'industrie s'empare de la première norme européenne pour sécuriser l'IoT grand public Un an après la publication de ses spécifications, la norme est étudiée par les industriels qui vérifient la conformité avec les critères de conception de leurs produits.

La norme EN 303 645 a fêté son premier anniversaire. Ces numéros ne vous disent peut-être rien, mais il s'agit de la première norme européenne de cybersécurité des objets connectés orientée vers les usagers. Ses spécifications ont été publiées le 30 juin 2020 par l'Etsi, l'organisme de normalisation européen avec un objectif : aider toutes les parties impliquées dans le développement et la fabrication de produits IoT grand public sécurisés, des babyphones aux détecteurs de fumée en passant par les wearables, en leur fournissant des conseils. "Il existe de nombreuses normes industrielles dans le secteur, sur le chiffrement ou la gestion des clés de sécurité, mais celle-ci se destine à la sécurité des produits pour le grand public, c'est ce qui en fait l'originalité", affirme Sylvain Guilley, professeur à Télécom ParisTech, ainsi que cofondateur et directeur technique de Secure-IC, fournisseur de solutions de cybersécurité pour les systèmes embarqués et les objets connectés.

La norme EN 303 645 définit 13 exigences de cybersécurité, parmi lesquelles celles de ne pas utiliser de mots de passe universels par défaut, de mettre en place un moyen de gestion des rapports de vulnérabilité ou d'assurer la sécurité des données personnelles. "Son atout est de rappeler les règles de sécurité de bon sens tout en étant compréhensible par tout le monde, utilisateurs finaux et industriels, ce qui encourage son adoption", poursuit Sylvain Guilley, pour qui le grand public, méfiant envers les Gafa et les nouvelles conditions d'utilisation annoncées par Whatsapp, a été sensibilisé à la protection des données personnelles.

L'histoire de la norme a commencé il y a un peu plus de deux ans. "La première version de la norme est l'ETSI TS 103 145, une initiative locale lancée au Royaume-Uni. Nous avons été invité à une table-ronde en 2019 pour exprimer le ressenti des industriels sur son adoption afin de réglementer localement la sécurité IoT, raconte Alexandre Lauga, RSSI pour le programme Eliot chez Legrand. Nous avons soutenu son adoption, non pas à l'échelle nationale mais européenne car la multiplication de normes locales est compliquée pour les industriels pour internationaliser leurs produits. Disposer d'une norme européenne est par ailleurs important car plus elle sera globale, plus il y aura une communauté d'experts à travailler dessus et plus elle sera crédible." Les travaux, qui ont suscité un vif engouement auprès des membres de l'Etsi, ont été accélérés pour transformer l'ETSI TS 103 145 en ETSI EN 303 645.

50 à 70% du temps de conception sur la validation des normes

Aujourd'hui, un an après la publication des spécifications, où en est-on ? Une centaine de membres de l'Etsi, représentant chacun une entreprise ou une organisation, assistent aux séances plénières du comité Etsi Cyber pour adjoindre à la norme des recommandations d'autres normes verticales. Parmi eux, Legrand, Schneider Electric ou encore Silicon Labs pour que la sécurisation des produits finaux, "ait du sens pour l'utilisateur final", souligne Jérôme Boissou, responsable du programme Eliot chez Legrand. "Nous passons 50 à 70% du temps à travailler la conception des projets pour en assurer la conformité aux normes. Ainsi, lorsque nous travaillons sur un nouveau device pendant 12 à 18 mois, plus de la moitié est consacré à la validation des certifications", témoigne Ludovic de Nicolay, directeur général adjoint du pôle numérique du groupe Zekat, qui conçoit et produit des solutions de hautes technologies. La difficulté majeure est "d'articuler cette norme avec les labels privés qui émergent de leur côté", précise Jérôme Boissou, qui y adhère mais milite pour que les normes se fassent à l'échelle de continent.

Pour Secure-IC, l'intégration de ses recommandations de sécurité sera source de ROI : "En renforçant la sécurité, nous apportons des gages concrets sur la conception de nos produits, cela représente un argument commercial supplémentaire et cela va motiver certains clients pour l'achat d'objets connectés", assure Sylvain Guilley.

L'adoption de la norme est donc un travail de longue haleine mais nul doute qu'elle va faire parler d'elle ces prochains mois. Promue par l'Enisa, l'Agence européenne chargée de la sécurité des réseaux et de l'information, elle prend corps alors que l'Union européenne appelle à un renforcement des normes en matière de cybersécurité de l'IoT. Les intérêts de la norme seront notamment mis en avant lors d'une conférence au salon IoT World le 6 octobre prochain. "L'Allemagne a proposé pour la suite la création d'un logo en auto-déclaration, une suggestion qui pourrait être discutée en 2022 ", indique Sylvain Guilley, pour qui cette mesure permettrait de rendre visible les niveaux de sécurité, au même titre que les vignettes sur les consommations des produits. Une initiative dont se réjouit aussi Guillaume Etorre, directeur général Smart home chez le fabricant Delta Dore : "Il faut que tout ce qui contribue à faire connaître l'attention que l'on porte à la sécurité se sache."

Pour Legrand, les perspectives sont d'autant plus prometteuses que la spécification de la norme suscite l'intérêt à l'international : "L'Europe fait figure de modèle et la norme a inspiré le Brésil pour son acte 77, publié en janvier dernier pour la sécurité des équipements de télécommunication", indique Alexandre Lauga. Chez Secure-IC, on observe également un attrait pour la norme dans les pays asiatiques. "Il y a une vraie réflexion à l'échelle européenne pour penser cette norme sur la même base que le RGPD. Elle va représenter le référentiel pour la cybersécurité IoT", conclut Patrizio Piasentin, sales manager chez le fabricant de semi-conducteurs Silicon Labs.