Vers une nouvelle réglementation européenne pour la sécurisation des objets connectés ?

Avec l’annonce, faite mi-septembre, par la commission européenne de sa volonté de faire en sorte de renforcer la sécurité des objets connectés[1] [2], il apparaît ainsi que l’Europe s’oriente vers une sorte de mini-R.G.P.D. dédié à l’internet des objets, ou à l’I.o.T. – Internet of Things. : à travers un « Cyber Resilience Act »

En effet, comme c’est malheureusement le cas pour beaucoup de technologies nouvelles connaissant un essor fulgurant, la sécurité a été négligée, que ce soit du côté des logiciels, des matériels ou des protocoles de communication spécifiques (qu’ils soient propriétaires, sur une technologie bas débit et basse consommation ou bien utilisant les réseaux cellulaires).

Ainsi des failles de sécurité non prises en compte, à l’heure actuelle, et permettant de perpétrer des attaques à distance sur ces objets « intelligents » pourraient porter atteinte au bon fonctionnement de bon nombre de cet innombrable parc d’objets connectés ; ils sont estimés à plus « 75 milliards d’ici à 2025 », selon Thierry Breton (Commissaire au marché intérieur), lors de cette annonce faite en compagnie de Margarítis Schinas (vice-président de la Commission Européenne et en charge de notre mode de vie européen), en faveur d’une généralisation de la : « sécurisation dès la conception », ou Security-by-Design (notion pourtant connue et pratiquée de longue date et dont c’était clairement inspiré le R.G.P.D., à travers son principe de « Privacy-by-Design »).

Cette nouvelle règlementation devra permettre de :

  • Couvrir les matériels comme logiciels et, notamment, de placer certains produits sous haute surveillance (routeurs, systèmes d’exploitation, etc.),
  • Effectuer des auto-évaluations pour les dispositifs les moins critiques,
  • Imposer des évaluations par des tiers, pour les plus critiques,
  • Et, ainsi, faire procéder à des déclarations de conformité (vis-à-vis des exigences issues de ce « Cyber Resilience Act »), par les fabricants eux-mêmes, afin de pouvoir y apposer le marquage C.E. et être autorisés à une libre circulation sur le marché européen.

Mais, une fois encore, il est à regretter qu’il faille se plier à une logique répressive a posteriori (de la part des autorités européennes), plutôt que de constater une volonté originelle proactive a priori (des fabricants et/ou éditeurs d’I.o.T.), surtout pour développer et distribuer, à court sinon moyen terme, des milliards d’objets connectés de la vie courante, ayant une capacité d’immixtion plus qu’importante dans la vie privée de leurs utilisateurs.

  • Wi-Fi. Il s’agit de l’un des protocoles de communication IoT les plus prisés.
  • Bluetooth fait partie des technologies de communication à courte portée les plus importantes,
  • OPC-UA,
  • Z-wave,
  • NFC (Near Field Communication)…

Thierry Breton, commissaire au marché intérieur, et Margaritis Schinas, vice-président chargé de la promotion de notre mode de vie européen, ont présenté ce 15 septembre le « Cyber Resilience Act ».

Comme l’a expliqué Thierry Breton lors de la conférence de presse, les appareils connectés ne cessent de se multiplier. Ils devraient être « 75 milliards d’ici à 2025 au bas mot » à l’échelle mondiale. Or, « les ordinateurs, les téléphones, les appareils ménagers, les dispositifs d’assistance virtuels, les voitures, les jouets… chacun de ces centaines de millions de produits connectés peut servir de porte d’entrée à une cyberattaque« .

Sur le protocole et les équipements propriétaires de Sigfox : LoRa, qui est comme Sigfox une technologie radio bas débit et basse consommation, et le NB-IoT, le standard utilisant les réseaux cellulaires développé par les opérateurs historiques

Ces internautes sont victimes des technologies du géant américain, en matière de publicité digitale (cf. AdTech – Advertising Technology) et de tout l’écosystème du marketing digital (cf. MarkTech – Marketing Technology) : une exploitation, démesurément gigantesque et outrageusement profitable, des données personnelles allant jusqu’à analyser les comportements des membres des groupes et forums de discussions de, notamment, plaignants… à l’encontre de… Oracle, précisément.

Ne dirait-on pas, depuis 2018, de notre R.G.P.D. que, quelque part et avant tout, il a été conçu pour permettre d’aider à dénoncer de tels abus, qui continuent encore et toujours à être perpétrés (mais mis au grand jour, petit-à-petit) par ceux que l’on appelle : G.A.F.A., sinon G.A.F.A.-M.I., voire G.A.F.A.-M.I.-O.S. [3] ?

[1] Bruxelles instaure une obligation de cybersécurité « by design » pour les fabricants d’objets connectés, Alice Vitard, 15 septembre 2022 

[2] La Commission européenne propose de renforcer la protection des objets connectés, Valentin Cimino, 12 septembre 2022

[3] G.A.F.A.-M.I.-O.S. : Google, Amazon, Facebook, Apple mais aussi Microsoft, I.BM. mais encore Oracle, Salesforce.


Par Gilles Trouessin| News, Protection des données, Sécurité

Autres articles