Êtes-vous prêt pour la nouvelle loi britannique sur la sécurité de l'IoT ?

Par Phil Muncaster • 23 Janvier 2024

Le marché britannique des technologies connectées est inondé de kits non sécurisés depuis des années. C'est une mauvaise nouvelle pour les consommateurs et les entreprises, car les appareils compromis peuvent être utilisés pour lancer des attaques contre les deux, tout en sapant la confiance du marché dans les nouvelles technologies. Le Britannique moyen ayant désormais accès plus de neuf appareils connectés, le gouvernement a introduit tardivement une législation visant à améliorer les normes de sécurité de base. Il est entré en vigueur en décembre 2023.

Bien qu'il ne soit pas parfait, le Loi de 2022 sur la sécurité des produits et l'infrastructure des télécommunications (PSTI) promet d’être le début d’un régime de conformité plus rigoureux pour les fabricants, distributeurs et importateurs de produits intelligents.

Pourquoi avons-nous besoin de la loi PSTI ?

Le risque IoT n’a pas commencé avec Mirai, mais c’est la première menace majeure à mettre à nu les vulnérabilités inhérentes aux technologies connectées. Les auteurs de la menace ont utilisé le malware éponyme pour rechercher des appareils IoT connectés en utilisant toujours le nom d'utilisateur et le mot de passe par défaut avec lesquels ils ont quitté l'usine. Il s'y connecterait ensuite pour pirater à distance les points finaux afin de créer un botnet pour les DDoS, la fraude aux clics, les campagnes de spam et d'autres menaces.

Un autre problème courant dans les kits IoT d’entreprise et grand public concerne les vulnérabilités du micrologiciel lui-même, qui pourraient être exploitées par des acteurs malveillants. Une étude récente de l'IoT Security Foundation (IoTSF) constaté que seulement 27 % des 332 fabricants d’IoT évalués exécutent même des programmes de divulgation des vulnérabilités. Les produits concernés peuvent aller des routeurs réseau aux dispositifs médicaux et des DVR aux moniteurs pour bébé.

Que contient la loi PSTI ?

C'est là qu'intervient la loi PSTI. Il s'agit en fait de deux textes législatifs en un, mais c'est la première moitié, sur la « sécurité des produits », qui nous intéresse. L'objectif est simple : rendre l'IoT grand public les kits vendus au Royaume-Uni sont plus sécurisés par défaut. Il exige que les fabricants, les distributeurs et les importateurs suivent des règles strictes sur les produits IoT. L'inclusion de ces deux dernières entités vise à garantir que les organisations ne peuvent pas simplement contourner les règles en important des produits non sécurisés de l'extérieur du pays.

Alors, qu’est-ce que cela impose ? S'appuyant sur la norme ETSI EN 303 645 (5.1 à 5.3) et, pour les rapports de sécurité, sur la norme ISO/IEC 29147, il existe trois éléments clés :

Mots de passe

Doit être unique pour chaque produit ou défini par l'utilisateur. Les mots de passe déterminés en usine ne doivent pas être faciles à deviner ou à énumérer.

Divulgation de vulnérabilité :

Il doit y avoir au moins un point de contact chez le fabricant/distributeur/importateur, et lorsqu'ils reçoivent un rapport de sécurité, ils doivent en accuser réception et envoyer des mises à jour jusqu'à ce qu'une résolution soit trouvée.

Période minimale de mise à jour de sécurité :

Des informations doivent être publiées sur la période de mise à jour. Il n’y a pas de minimum déclaré, seulement qu’il doit être publié. Il dit également que la période ne peut pas être raccourcie, mais qu'elle peut être prolongée.

Le directeur général de l'IoTSF, John Moor, a déclaré à ISMS.online que ces exigences sont en partie techniques et en partie basées sur les processus.

« Les fabricants devront concevoir des produits dotés de mots de passe uniques et forts, prêts à l'emploi, et les utilisateurs devraient pouvoir les modifier. Cela a des implications évidentes sur la manière dont les produits sont conçus. La deuxième exigence est de garantir que la sécurité soit maintenue – que les vulnérabilités connues puissent être corrigées sur le terrain ou, dans des situations extrêmes, rappelées. Cela signifie que toutes les entreprises doivent disposer d'un processus permettant aux « chercheurs » ou aux profanes de contacter le fournisseur et de signaler les problèmes de sécurité », ajoute-t-il.

« La troisième exigence est d'informer le consommateur de ce à quoi il peut s'attendre en termes de maintenance de la sécurité – cela a également une implication pour la phase de conception – comment les mises à jour de sécurité seront-elles activées ? Quel est le processus pour les mises à jour de masse ? »

Les organisations qui enfreignent la loi peuvent être condamnées à une amende pouvant aller jusqu'à 10 millions de livres sterling ou 4 % de leur chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. La loi PSTI donne également au secrétaire d'État le pouvoir d'émettre des avis d'arrêt et de rappel.

Comment cela s’articule-t-il avec le régime européen ?

Le régime équivalent dans l'UE est le Loi sur la cyber-résilience (CRA), qui continue de se frayer un chemin à travers les institutions législatives du bloc. Il semble que la barre soit plus haute en matière de sécurité IoT, les produits IoT obligatoires sont produits avec une configuration sécurisée par défaut, sans vulnérabilités exploitables, et comportent des mécanismes d'authentification appropriés ainsi qu'un cryptage des données, le cas échéant. Des évaluations des risques et de la conformité seront également requises lorsqu'ils ne se trouvent pas au Royaume-Uni.

Pour les organisations opérant au Royaume-Uni et dans l’UE, la conformité ne devrait pas être difficile tant qu’elles adhèrent au régime européen plus rigoureux.

« Heureusement, un dialogue est en cours avec les autorités britanniques et leurs homologues respectifs au sein de l’UE. À notre connaissance, les entreprises seront en mesure d’aligner les exigences du Royaume-Uni et de l’UE sans frais généraux importants », déclare Moor.

« L'annexe 4 définit la quantité minimale d'informations qui doivent être indiquées dans une déclaration de conformité. Les fabricants devront fournir un minimum d'informations sur leur déclaration de conformité et une signature pour officialiser la déclaration de conformité. Une copie de la déclaration doit être conservée pendant au moins 10 ans.

La loi britannique PSTI entre en vigueur en avril 2024, tandis que le CRA n'arrivera probablement pas avant la fin de 2025, ce qui signifie que les fabricants et les importateurs auront plus de temps pour se préparer, a déclaré Alan Blackwell, consultant principal de Bridewell, à ISMS.online.

Est-ce que ça va assez loin ?

Il y a encore un débat sur la question de savoir si la loi PSTI constitue une occasion manquée d’introduire une barre plus haute en matière de sécurité de l’IoT. Blackwell explique qu'il s'inspire à la fois de la norme ETSI EN 303 645 et d'un code de bonnes pratiques britannique pour la sécurité de l'IoT grand public, publié en 2018.

«Mais seules les trois principales exigences [ETSI], sur un total de 13, ont été intégrées dans la première version du règlement. Par exemple, l’une des omissions actuelles est la nécessité de garantir des communications sécurisées sur Internet », ajoute-t-il. « Au fil du temps, nous espérons voir la loi s’appuyer sur les trois exigences initiales pour en inclure d’autres provenant du code de bonnes pratiques britannique et de l’ETSI. »

Moor, de l'IOTSF, est d'accord, décrivant la loi comme une « première étape nécessaire » qui fournira une base sur laquelle bâtir.

« La réglementation est un délicat exercice d’équilibre entre la réalisation des objectifs déclarés et l’évitement de conséquences imprévues – dans ce cas-ci, il ne s’agit pas d’étouffer l’innovation », affirme-t-il. « L’approche adoptée par le gouvernement britannique est sensée : il fixe un niveau minimum d’exigences et les fera évoluer au fil du temps si nécessaire. »

Blackwell de Bridewell affirme que l'application de la loi déterminera en fin de compte son efficacité dans l'amélioration de la sécurité de base dans l'industrie.

« Nous nous attendrions à ce que la réglementation commence par une légère touche pendant que les fabricants, les distributeurs et les importateurs se font le tri. Mais traditionnellement, avec ce type de réglementations en matière de cybersécurité, nous constatons que les mesures coercitives de la part du régulateur commencent à augmenter après quelques années », conclut-il.

Néanmoins, avec la loi PSTI désormais en vigueur, les organisations ne devraient pas perdre de temps à apporter les modifications techniques et de processus nécessaires pour se conformer.

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 20 Janvier 2026

Combler le fossé de la gouvernance de l'IA avec le blog ISO 42001

Combler le fossé en matière de gouvernance de l'IA avec la norme ISO 42001

Le Royaume-Uni a un problème de gouvernance en matière d'IA. Cela n'aurait peut-être pas posé de problème il y a quelques années, lorsque les projets étaient menés de manière fragmentaire dans la plupart des organisations. Mais aujourd'hui…

Phil Muncaster

La cyber-sécurité 6 Janvier 2026

Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

À quoi ressembleront les 12 prochains mois pour les professionnels de la cybersécurité et de la conformité ? Nous avons passé au crible l’actualité et analysé les prévisions du secteur…

Phil Muncaster

La cyber-sécurité 11 December 2025

Une faille de sécurité liée à l'IA agentique est-elle inévitable en 2026 ?

Trois ans se sont peut-être écoulés depuis le lancement de ChatGPT, qui a donné le coup d'envoi à une nouvelle course technologique, mais tous les regards sont désormais tournés vers l'IA agentive. Ses partisans affirment qu'elle...

Phil Muncaster