Enregistrez-vous sur www.info-utiles.fr    Connexion
    
Menu principal
Navigation dans les sujets
Arlo

Internet : Cyber-résilience de l’IoT : Loi européenne.!
Posté par JulieM le 14/9/2022 13:00:00 Articles du même auteur



Les objets connectés sont souvent considérés comme le maillon faible de la cybersécurité au sein des entreprises, il n'est donc pas surprenant que l'Union Européenne discute dans les prochains jours d'une proposition de loi dans le cadre du Cyber Resilience Act. 

L'objectif est d'établir des normes de cybersécurité et des procédures d'évaluation de conformité plus strictes pour les objets connectés.

Selon Ilona Simpson, DSI EMEA chez Netskope, une telle réglementation est nécessaire, mais doit être réfléchie en détail, et sa mise en place doit tenir compte de la capacité de l'écosystème industriel - dont la fabrication, la supply chain et la vente au détail - à l'adopter :

« Des téléviseurs aux montres, aux réfrigérateurs, aux ampoules ou encore aux machines à café, il semble que tout objet doit être désormais connecté pour être commercialisable.

Tous ces appareils rejoignent alors un environnement IoT en croissance exponentielle. Le problème est que ce secteur n'a dû se conformer à aucune réglementation en matière de cybersécurité à date, et les cybercriminels le savent bien, puisqu'ils ont mené par le passé des attaques significatives ; en exploitant par exemple des machines à café pour atteindre les réseaux informatiques d’entreprises, auxquels ces appareils étaient connectés.

Des normes de cybersécurité de base pour tous les appareils connectés, ainsi que des procédures d'évaluation de conformité plus strictes pour les produits critiques, sont donc indispensables. 

Mais cette proposition soulève de nombreuses questions : s’il est bénéfique que les éditeurs aient à évaluer la sécurité des objets connectés sur le point d'être commercialisés, qu'en est-il des produits déjà présents sur le marché ? 

Et qu’adviendra-t-il si cela coûte trop cher pour que les petits fabricants le fassent de manière réfléchie ?

De plus, dans l’éventualité où les vulnérabilités connues des appareils connectés seront listées, les consommateurs et les entreprises devront être sensibilisés, afin d’être en mesure de faire des choix éclairés en fonction des informations partagées et des risques induits. 

Du côté de l'offre, les organisations seront confrontées non seulement au défi de concevoir, acquérir, mettre en œuvre et déployer une pile technologique adéquate, mais également de s'assurer qu'elles disposent des processus et des ressources pour maintenir leurs activités.

Dans le passé, l'UE avait choisi d’opter pour l’entrée en vigueur de législations similaires en une seule fois, avec une date unique de mise en conformité ; comme ce fut le cas pour le RGPD. 

Mais il serait judicieux d'apprendre des fonctions technologiques et informatiques de l'industrie. Il faut en effet s’assurer que l'objectif final est clair pour tous, en commençant par un produit minimum viable ou une approche de type "pilote".

Il est ainsi préférable de laisser le temps à tout le monde d'apprendre et de se familiariser avec la nouvelle réglementation, y compris le régulateur lui-même, en commençant par une catégorie de produit en particulier - telle que les ordinateurs et les tablettes - ou en examinant les exigences minimales si cela est viable.

Enfin, le règlement final doit être clair et très précis quant aux responsabilités qui incombent à chacun des acteurs. 

En effet, la proposition actuelle indique : "Des obligations seront établies pour les différents acteurs commerciaux, des fabricants aux distributeurs et importateurs, en ce qui concerne la mise sur le marché de produits contenant des éléments numériques, en fonction de leur rôle et de leurs responsabilités dans la supply chain" ; or, la majeure partie de ces objets connectés opère dans des écosystèmes de R&D, de fabrication et de supply chain assez complexes.

De plus, le projet exige un "niveau de cybersécurité approprié", ce qui ne semble pas suffisamment clair et concis pour ne pas engendrer de vides juridiques ou voir les parties prenantes se rejeter la faute à l'avenir quant à un manque de sécurisation. »

Note: 0.00 (0 votes) - Noter cet article -




Autres articles
18/3/2024 15:00:00 - Sécuriser le cloud hybride : mission impossible ?
18/3/2024 14:00:00 - Attaques par déni de service distribué
18/3/2024 13:00:00 - Cinq applications pratiques de l'IA pour l'automatisation
15/3/2024 15:00:00 - Saviorless annonce sa date de sortie.
15/3/2024 14:00:00 - La France fait face à une nouvelle cyberattaque
15/3/2024 13:00:00 - L'IA; menace pour l’élection présidentielle de 2024
13/3/2024 15:00:00 - Ark of Charon sortira en 2024 sur Steam
13/3/2024 14:00:00 - Unicorn Overlord sur consoles
13/3/2024 13:00:00 - Quand les IA prendront le contrôle de nos vies
11/3/2024 15:00:00 - Le monde du Cloud et des datacenters aux enfants

Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.



Facebook
facebook
Bitdefender



Bitdefender

Pocketalk
Arlo





© 2008 info-utiles.fr - Tous droits réservés  |  hébergé par www.iloclic.com   - règles de confidentialité