Des téléviseurs aux montres, en passant par les réfrigérateurs, les ampoules et les machines à café, il semblerait qu’un appareil doive désormais être connecté pour avoir du succès auprès des consommateurs. Selon le cabinet IDC, le nombre total d’objets connectés atteindra 55,9 milliards dans le monde d’ici 2025.

L’Internet des objets (IoT) est de plus en plus présent dans les foyers et sur les lieux de travail, mais cette généralisation a largement devancé l’entrée en vigueur de réglementations. En effet, à l’heure actuelle, les appareils connectés ne sont soumis à aucune obligation en matière de cybersécurité. Pourtant, ils sont bel et bien dans le viseur des cybercriminels.

Réglementer pour mieux protéger

Dans le contexte actuel de prise de conscience grandissante des cyber-risques, le fait que l’Union Européenne (UE) ait récemment présenté une proposition de loi sur la cyber-résilience semble être une suite logique. Ce texte législatif vise à établir des normes de cybersécurité et des procédures d’évaluation de conformité plus strictes dans le secteur de l’IoT. Les objets connectés sont souvent considérés comme le maillon faible de la cybersécurité des organisations, et il ne fait aucun doute que l’introduction d’une réglementation va améliorer leur cyber-résilience, tout comme l’introduction du Règlement général sur la protection des données (RGPD) a élevé le niveau des exigences en matière de protection des données.

De toute évidence, des normes de cybersécurité minimales pour tous les appareils connectés, ainsi que des procédures d’évaluation de conformité plus strictes pour les appareils sensibles, sont nécessaires. Mais cette proposition de loi soulève de nombreuses questions : s’appliquera-t-elle aux appareils obsolètes ainsi qu’à ceux récemment commercialisés ? Par ailleurs, comment les petits fabricants parviendront-ils à couvrir ces nouvelles dépenses ?

La proposition de loi ne précise pour le moment pas si l’intention est de mettre en place un simple système binaire « réussite/échec », ou si des classements seront établis pour aider les consommateurs à comprendre la valeur d’une sécurité plus stricte. Cependant, ce qui est certain, c’est que le paysage des menaces est en perpétuelle évolution. Le modèle de certification fixe des appareils ne semble donc pas adapté, et risquerait de semer la confusion dès lors que de nouvelles menaces apparaîtront et que les techniques des cybercriminels évolueront. Si des vulnérabilités viennent à être identifiées dans le domaine de l’IoT, il faudra que consommateurs et entreprises disposent d’un niveau de connaissances suffisant pour pouvoir faire des choix éclairés, à partir d’informations sur des failles de sécurité et l’exposition au risque qui en découle. Étant donné la valeur souvent faible des objets connectés et leur cas d’usage unique, est-il réaliste d’attendre des consommateurs qu’ils s’informent sur le sujet potentiellement complexe de l’identification et de l’analyse des cybermenaces ?

Un large écosystème concerné

Du côté de l’offre, les fournisseurs seront confrontés au défi de devoir non seulement concevoir, acheter, mettre en œuvre et déployer une pile technologique adéquate, mais ils devront également se doter des processus et des ressources nécessaires pour assurer ces activités durablement.

Dans le passé, l’Union Européenne a opté pour l’entrée en vigueur de législations analogues en une seule fois, avec une date unique de mise en conformité, comme cela fut le cas pour le RGPD. Dans le cas présent, l’idéal serait une application progressive de la loi afin de donner l’opportunité aux décideurs politiques de la faire évoluer. L’objectif doit être clairement défini, certes, mais il faudrait démarrer par un projet pilote qui permettrait à l’ensemble des acteurs d’expérimenter la loi – y compris le législateur lui-même – sur une catégorie de produits, ou de se concentrer sur des exigences minimales, avant de passer à une grille de critères plus détaillée.

D’une manière générale, cette loi devra définir de façon claire et précise à qui les responsabilités incombent. Il est écrit dans la proposition actuelle : « Des obligations seront établies pour les acteurs économiques, qu’il s’agisse des fabricants, des distributeurs ou des importateurs. Elles concerneront la mise sur le marché des produits comportant des éléments numériques et seront adaptées au rôle et aux responsabilités des différents acteurs au sein de la chaîne d’approvisionnement. » Cette partie du texte laisse entrevoir l’ampleur de l’écosystème concerné, incluant la R&D complexe, la production ainsi que les réseaux de la chaîne d’approvisionnement. En contraste avec cette complexité, la proposition appelle actuellement à un « niveau approprié de cybersécurité » ; une déclaration d’intention très vague qui ne semble pas suffisamment claire et concise, ainsi susceptible d’engendrer des vides juridiques ou d’amener les parties prenantes à se renvoyer la balle à l’avenir.

Il est temps que les dispositifs IoT soient mieux réglementés en matière de cybersécurité et de résilience, mais le diable, comme on le dit souvent, est dans les détails.