Le gouvernement mène une consultation sur une loi relative à la sécurité de l'IoT en entreprise. Et ensuite ?

Par Phil Muncaster • 5 Juin 2025

L'Internet des objets (IoT) est souvent perçu comme un écosystème technologiquement avancé d'appareils et de systèmes back-end de nouvelle génération. En réalité, le terme a été inventé à la fin des années 1990, et de nombreux produits d'entreprise sont plus banals qu'attrayants : pensez aux imprimantes et aux systèmes de stockage en réseau (NAS). Ils sont également souvent confrontés à des problèmes de sécurité.

C'est pourquoi le gouvernement tient sa promesse de promouvoir la sécurité dès la conception dans toutes les technologies, en particulier celles qui sont si importantes pour la productivité et l'efficacité des entreprises. Cependant, Appel à contributions sur la cybersécurité des appareils connectés en entreprise Ce n'est que la première étape d'un long processus visant à améliorer la sécurité de base de l'IoT des entreprises. La clé réside dans la suite des événements.

À quel point la sécurité de l’IoT est-elle mauvaise ?

Afin d’illustrer la nécessité d’une intervention politique, le gouvernement a chargé le groupe NCC de mener une étude. évaluation de la vulnérabilité de certains appareils connectés couramment utilisés en entreprise. La lecture n'est pas particulièrement agréable.

Au total, le spécialiste en cybersécurité a évalué huit produits : une caméra IP haut de gamme et une caméra IP d'entrée de gamme, un NAS, un panneau de contrôle pour salle de réunion et un appareil VoIP. Parmi les 50 problèmes détectés, un était jugé critique, neuf à haut risque et 24 à risque moyen. Le problème critique concernait un NAS d'entrée de gamme qui ne nécessitait pas la modification du mot de passe par défaut au démarrage. Cependant, le groupe NCC a identifié de nombreux autres problèmes, notamment :

Plusieurs vulnérabilités « graves » d’exécution de code à distance qui pourraient conduire à une prise de contrôle complète de l’appareil par un attaquant non authentifié
Logiciel obsolète sur plusieurs appareils, y compris un chargeur de démarrage de caméra IP haut de gamme datant de plus de 15 ans
Aucune protection contre un attaquant ayant un accès physique à un appareil, qui souhaite le compromettre et y installer une porte dérobée persistante
La plupart des appareils exécutent tous les processus en tant qu'utilisateur « root », ce qui pourrait donner à un attaquant un contrôle illimité sur un appareil.
Configuration non sécurisée des services, des applications et des fonctionnalités
Adhésion inégale à la Principes de sécurité des appareils du NCSC et la norme ETSI EN 303 645

« De nombreux appareils IoT exécutent des processus susceptibles d'accroître le risque de compromission totale du système. Nous avons constaté que ces failles de sécurité résultent souvent d'un développement bâclé, de mesures de réduction des coûts ou de tentatives visant à simplifier la surveillance », explique Jon Renshaw, directeur des services de recherche en sécurité du groupe NCC, à ISMS.online.

« Les conséquences des économies réalisées sont souvent considérables et ont un impact sur la manière dont de nombreuses organisations déploient leurs solutions IoT. »

Trois options sur la table

Selon l'appel à commentaires du gouvernement, le marché de l'IoT d'entreprise se heurte à deux défis majeurs. Le premier concerne les fabricants eux-mêmes. Le gouvernement affirme que la connaissance et l'adoption d'un guide des 11 principes de bonnes pratiques, publié en 2022 par le Département des Sciences, de l'Innovation et de la Technologie (DSIT) et le Centre national de cybersécurité (NCSC), restent faibles.

Le deuxième problème concerne les acheteurs informatiques. données, Depuis 2021, le gouvernement affirme que 58 % des entreprises britanniques n'exigent « aucun contrôle de sécurité ou d'approvisionnement » lorsqu'elles investissent dans de nouveaux appareils connectés. Elles utilisent donc des appareils aux configurations non sécurisées, aux logiciels obsolètes et aux fonctionnalités de sécurité inadéquates, précise-t-il.

C'est pourquoi le gouvernement propose un plan en deux étapes. La première consistera à élaborer un Code de bonnes pratiques pour la sécurité des appareils connectés en entreprise, basé sur les 11 principes. Ce document aidera les fabricants à concevoir et à fabriquer des produits plus sûrs et permettra aux acheteurs potentiels de prendre des décisions d'achat plus éclairées.

La deuxième étape est celle où le gouvernement sollicite le plus l'avis de l'industrie. Ses trois propositions d'« interventions politiques » sont les suivantes :

Un engagement volontaire Les fabricants d'appareils IoT d'entreprise signeraient un tel accord pour prouver au marché leur sérieux en matière de sécurité. Bien que non juridiquement contraignant, il obligerait les signataires à s'engager publiquement à « montrer des progrès mesurables » par rapport aux principes du code de bonnes pratiques « dans un délai déterminé ».
Une nouvelle norme mondiale Conçue pour s'appuyer sur les normes existantes, telles que l'ETSI EN 303 645 et le projet ISO 27402, cette norme s'appuierait également sur le code de bonnes pratiques et viserait à établir un consensus international sur les meilleures pratiques. Cependant, cette approche relève davantage de la « carotte » que du « bâton », car, théoriquement, la conformité serait également volontaire.
La nouvelle législation visant à inscrire les 11 principes et le code de pratique dans la loi. Cela pourrait prendre la forme d'une extension de la Loi de 2022 sur la sécurité des produits et l'infrastructure des télécommunications (PSTI) ou une loi autonome. Le gouvernement admet que, compte tenu de la nature mondiale des chaînes d'approvisionnement de l'IoT, la législation est souvent le seul moyen de garantir que les fabricants respectent les meilleures pratiques.

« Contrairement aux consommateurs, les entreprises sont mieux à même de garantir la mise en place d'importantes mesures de sécurité, notamment en déployant du personnel dédié pour garantir le déploiement rapide des mises à jour de sécurité et corriger les problèmes, et en améliorant la compréhension de leur réseau », précise le gouvernement. « Nous envisagerons donc d'imposer des obligations spécifiques aux entreprises et aux autres utilisateurs finaux pour qu'ils prennent des mesures spécifiques. »

John Moor, directeur général de l'IoT Security Foundation (IoTSF), salue l'intérêt du gouvernement à sensibiliser à la sécurité des appareils et à contacter l'industrie pour déterminer « si encourager les comportements ou les imposer est le plus approprié au devoir de diligence ».

Il explique à ISMS.online que si le code volontaire semble une idée « sensée », la création d'une nouvelle norme de sécurité n'est peut-être pas la solution, car elle risque d'accroître la complexité. Moor privilégie donc l'extension d'une norme existante comme alternative. Il est également sceptique quant à une nouvelle réglementation.

« Le plus difficile est de savoir comment réaliser le changement nécessaire – en maintenant l’équilibre entre les mesures de protection et en évitant d’étouffer l’innovation ou d’encourager des comportements réactifs qui vont à l’encontre de l’intention », soutient Moor.

« Ce que j’ai appris au cours des dix dernières années, c’est qu’une réglementation de ce type est pratiquement impossible à mettre en place correctement – même la loi PSTI, avec ses trois exigences simples, n’est pas simple, et nous sommes conscients d’un certain nombre de préoccupations légitimes de la part de l’industrie. »

Moor affirme que « des complications surviennent et les coûts augmentent rapidement avec le nouvel appareil réglementaire », de sorte qu’une nouvelle législation ne devrait être considérée qu’en dernier recours, lorsque toutes les autres options ont été épuisées.

Renshaw, du groupe NCC, est plus positif à l'égard de la réglementation, affirmant qu'elle peut entraîner des changements de comportement parmi les fabricants d'IoT.

« La législation devrait obliger les fabricants à : effectuer des évaluations indépendantes de leurs produits par des tiers avant leur mise sur le marché ; faire preuve de diligence raisonnable à l’égard de leurs chaînes d’approvisionnement ; tenir compte des vulnérabilités de sécurité qui affectent leurs produits ; et clarifier les rôles et responsabilités des fabricants et des utilisateurs finaux/clients », poursuit-il.

« En s'alignant sur ces points, la législation protégera les données dans l'ensemble des écosystèmes commerciaux et garantira que les fabricants assument la responsabilité de la sécurité de leurs produits. »

Pendant ce temps

Aucune des trois options ci-dessus n'est exclusive, et le gouvernement a demandé à l'industrie si des mesures supplémentaires devaient également être envisagées. Mais cela prendra du temps. L'appel à contributions se termine le 7 juillet, mais le calendrier ultérieur reste incertain. En attendant, les responsables informatiques des entreprises doivent s'assurer de la sécurité de leurs achats et de leur mise en œuvre.

« Les acheteurs d'IoT doivent d'abord mieux comprendre leurs besoins, puis les comparer aux offres du marché. Une fois ces exigences définies, qui doivent inclure une maintenance continue tout au long de la durée de vie prévue, il s'agit de choisir les meilleurs fournisseurs pour y répondre », explique Moor.

Les fabricants devraient être testés sur leur approche de sécurité intégrée et leur support de maintenance. Les acheteurs devraient exiger au minimum des solutions sécurisées par défaut.

Renshaw, du groupe NCC, conseille aux acheteurs d'objets connectés de privilégier des fournisseurs « ayant une solide expérience en matière de sécurité et un engagement envers les normes du secteur ». Il ajoute qu'un support continu et des mises à jour régulières du micrologiciel sont également importants. Il soutient que les acteurs de la défense du réseau devraient s'appuyer sur une « gestion robuste des vulnérabilités », une segmentation et une surveillance du réseau pour atténuer les risques.

L'IoTSF maintient un Cadre pratique d'assurance de la sécurité de l'IoT Ce document recense l'ensemble des normes et réglementations existantes et émergentes, y compris la présente proposition et le Cyber Resilience Act (CRA) de l'UE. Les fabricants comme les acheteurs peuvent l'utiliser pour mieux comprendre un paysage réglementaire de plus en plus complexe.

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 6 Janvier 2026

Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

À quoi ressembleront les 12 prochains mois pour les professionnels de la cybersécurité et de la conformité ? Nous avons passé au crible l’actualité et analysé les prévisions du secteur…

Phil Muncaster

La cyber-sécurité 11 December 2025

Une faille de sécurité liée à l'IA agentique est-elle inévitable en 2026 ?

Trois ans se sont peut-être écoulés depuis le lancement de ChatGPT, qui a donné le coup d'envoi à une nouvelle course technologique, mais tous les regards sont désormais tournés vers l'IA agentive. Ses partisans affirment qu'elle...

Phil Muncaster

Sécurité de l'Information 9 December 2025

Une année de conformité : cinq leçons apprises en 2025

Une année de conformité : cinq leçons tirées de 2025

Ces douze derniers mois ont une fois de plus démontré que le paysage de la cybersécurité est rarement à l'abri des incidents. Les failles de sécurité majeures coûtent cher aux organisations…

Phil Muncaster