La cybersécurité des maisons intelligentes est une préoccupation croissante, car de plus en plus d’objets connectés arrivent sur le marché, sans réelle réglementation en matière de sécurité. Désormais, l’Union européenne veut donner aux fabricants d’appareils l’obligation légale de s’assurer que leurs produits sont à l’abri des pirates et de les mettre à jour si nécessaire pour qu’ils restent ainsi…
La proposition de loi européenne sur la cyber-résilience introduira donc des exigences obligatoires en matière de cybersécurité pour les produits contenant des “éléments numériques”. Des exigences qui devront s’appliquer tout au long de leur cycle de vie, ce qui signifie que les fabricants d’objets connectés devront fournir des MAJ de sécurité continu pour corriger les vulnérabilités de ces objets.
Le projet de règlement met également l’accent sur la nécessité aux fabricants d’objets connectés de permettre une configuration obligatoire et simplifiée des paramètres de sécurité des objets. Cela inclut des informations suffisantes et précises dans les applications et documentations pour s’assurer que les acheteurs soient en pleine capacité à configurer de manière sécurisée les appareils en toute sécurité après l’achat.
Apple un précurseur dans le domaine avec HomeKit
Apple utilise sa propre norme HomeKit pour son écosystème domotique avec deux objectifs en tête. Tout d’abord, rendre les appareils intelligents faciles à contrôler via une seule application. Mais également pour vous assurer que la maison intelligente est sécurisée contre les cyber-attaquants. Avec HomeKit, des clés cryptées sont utilisées pour identifier les appareils, et lorsque votre iPhone envoie une commande de déverrouillage à votre serrure de porte intelligente, l’iPhone vérifiera l’identité de la serrure, et la serrure vérifiera l’identité de votre iPhone.
Cependant, même HomeKit peut être vulnérable. En 2017 un chercheur en sécurité a pu prendre le contrôle à distance de serrures connectées et d’autres appareils. Apple a corrigé le bug après coup, mais comme tout système informatique, le risque zaro n’existe pas. Mais si sur un environnement sécurisé, des attaques sont envisageables, je vous laisse imaginer ce qui pourrait arriver avec des objets connectés qui ne disposent d’aucune couche de sécurité. Au vu du nombre important d’objets connectés sur le marché, il devient urgent de se pencher sur cette problématique.
Un projet de loi sur la cybersécurité des maisons intelligentes
Les législateurs de l’Union européenne ont proposé une loi pour garantir que tous les appareils domestiques intelligents soient conformes aux exigences de cybersécurité. Dans un résumé des mesures proposées, la Commission a proposé plusieurs points :
- Définir des règles de mise sur le marché de produits contenant des éléments numériques pour assurer leur cybersécurité.
- Définir les exigences essentielles pour la conception, le développement et la production d’objets connectés.
- Définir les exigences essentielles relatives aux processus de traitement des vulnérabilités mis en place par les fabricants pour garantir la cybersécurité des produits tout au long de leur cycle de vie. Les fabricants devront également signaler les vulnérabilités et les incidents activement exploités.
- Définir des règles de surveillance du marché de l’internet des objets.
L’UE est préoccupée par des menaces plus larges
Une législation qui donnera enfin un cadre à la maison connectée. Non seulement les fabricants devront s’assurer que leurs appareils sont sûrs lors de leur lancement, mais ils seront également tenus de fournir les mises à jour de sécurité requises pour le cycle de vie complet du produit.
Avec la croissance des objets connectés, un incident de cybersécurité sur un produit pourrait avoir un impact sur l’ensemble de la chaîne d’approvisionnement, entraînant éventuellement de graves perturbations des activités économiques et sociales sur l’ensemble du marché, compromettant la sécurité ou même mettant en danger la vie.
L’organisation estime que sa loi pourrait être reproduite dans le monde entier. Alors que d’autres juridictions dans le monde cherchent à résoudre ces problèmes, la loi sur la cyber-résilience est susceptible de devenir une référence internationale. Au-delà du marché intérieur de l’UE, les normes de l’UE fondées sur la loi sur la cyber-résilience faciliteront sa mise en œuvre et seront un atout pour le secteur de la cybersécurité.
Cette proposition intervient à quelques semaines du lancement du nouveau standard unifié Matter, 2022 est résolument une année charnière pour la maison connectée. Tout semble avancer dans la bonne direction aussi bien sûr la simplicité d’usage que sur la sécurisation des environnements. Si les choses bougent, ce n’est toutefois pas aussi simple à mettre en place et nécessitera encore un peu de temps pour voir la maison connectée complètement couverte par cette nouvelle législation. La commission a proposé un délai de deux ans une fois le règlement adopté pour que les fabricants d’appareils et les États membres de l’UE s’adaptent à l’ensemble des nouvelles règles. La réglementation ne sera donc probablement pas en vigueur avant 2025.
Ce qui serait parfait, c’est que cette obligation de mise à jour de sécurité des produits permette de mettre à jour un produit, même si on n’a pas le pont de la même marque !
Par exemple, mise à jour des ampoules Hue sans le pont Philips (Utilisation Zigbee sans le pont), ou d’un module Fibaro sans le pont Fibaro, etc…