Le paysage des cyberrisques évolue rapidement à mesure que de plus en plus d’appareils sont connectés via l’Internet des objets. En 2023, il y avait plus de 16 milliards d’appareils connectés dans le monde et ce chiffre devrait croître de façon exponentielle chaque année. Cette tendance souligne l’importance des mesures de sécurité PSTI BIll et IoT.
Alors que cette tendance se poursuit, les gouvernements du monde entier renforcent leur engagement à protéger la vie privée et la sécurité des utilisateurs finaux en introduisant une série de mesures. cybersécurité cadres et mesures.
L’une de ces initiatives est le projet de loi britannique sur la sécurité des produits et l’infrastructure des télécommunications (PSTI).
Le projet de loi a été présenté pour la première fois au Parlement en 2021, le ministère britannique de la Science, de l'Innovation et de la Technologie ayant annoncé qu'il entrerait en vigueur le 29 avril 2024.
Mais qu’est-ce que le projet de loi PSTI et comment change-t-il la sécurité de l’IoT ? À qui s’appliquera-t-il et comment cela affectera-t-il potentiellement votre entreprise ?
Nous apportons des réponses à ces questions et bien plus encore.
Qu’est-ce que le projet de loi PSTI ?
Le projet de loi se compose de deux grandes parties :
- Partie 1 – Mesures de sécurité des produits
- Contient un cadre réglementaire pour faire face à l'évolution rapide du paysage de cybermenaces
- Partie 2 – Mesures relatives aux infrastructures de télécommunications
- Décrit l'ambition du gouvernement britannique d'obtenir un Internet plus rapide et les mesures permettant aux fournisseurs de services de mettre en œuvre cette ambition.
Pour cet article, nous nous concentrerons exclusivement sur la partie 1 – Mesures de sécurité des produits.
En bref, la première partie du projet de loi énonce une série d'articles répartis en quatre chapitres.
- Chapitre 1: Contours essentiels exigences de sécurité et les produits auxquels ils s'appliquent
- Chapitre 2: Souligne que les acteurs clés doivent répondre à ces exigences de sécurité
- Dans ce cas, les « acteurs » s’étendent aux fabricants, importateurs et distributeurs d’appareils connectés.
- Chapitre 3: Met en évidence les mesures coercitives en cas de non-conformité et les services concernés qui seront responsables de la mise en œuvre de ces mesures coercitives.
- Chapitre 4: Contient des informations supplémentaires et des annexes
Bien que le projet de loi PSTI puisse surprendre certains, il est conforme aux cadres de cybersécurité IoT actuels et à venir dans le pipeline législatif mondial.
Parmi celles-ci figurent, entre autres, la Cyber Resilience Act de l’UE, le NIS2 aux États-Unis, la Cybersecurity Act à Singapour et la loi canadienne de mise en œuvre de la Charte numérique.
Pourquoi un projet de loi PSTI ?
Des recherches récentes menées par le gouvernement britannique ont révélé que seul un fabricant sur cinq intégrera des exigences de sécurité de base dans ses produits connectables. Cela signifie que près de 1 % de tous les produits de consommation connectés (c'est-à-dire les montres intelligentes, les téléphones, les téléviseurs, les réfrigérateurs, etc.) sont exposés à des attaques malveillantes en s'en tenant aux mots de passe par défaut, y compris des exemples tels que les suivants :
- Mot de Passe
- Administrateur
- 1234
- installation
- toupie
- utilisateur
Avant l’introduction du projet de loi PSTI, on s’attendait de manière déraisonnable à ce que les utilisateurs ordinaires assument le fardeau de la sécurité de l’IoT. En tant que tel, il n’incombe pas non plus aux fournisseurs de services de prévenir les violations de la vie privée et des données personnelles.
Cependant, alors que les déploiements massifs d’IoT s’accélèrent et deviennent la norme, ce projet de loi n’aurait pas pu arriver à un meilleur moment.
Quoi Les exigences du PSTI sont-elles?
Les trois fondements de la sécurité du PSTI sont les suivants :
- Ne comptez plus sur les mots de passe par défaut d'usine, car les mots de passe doivent être uniques pour chaque appareil ;
- Les produits doivent avoir une politique claire de divulgation des vulnérabilités pour le signalement des défauts ou des bogues ;
- Transparence concernant la durée pendant laquelle le produit recevra des mises à jour de sécurité vitales
Ces clauses couvrent à la fois les « produits connectables à Internet » et les « produits connectables au réseau » qui peuvent envoyer et recevoir des données sans être connectés à Internet.
Pourquoi cela ressemble-t-il au code de bonnes pratiques et à l'ETSI EN 303 645 ?
Même lorsque la première version du RGPD a été publiée en 2012, des discussions sur la sécurité des produits IoT étaient déjà en cours au Royaume-Uni.
Ces discussions ont abouti à la publication par l’UE et le Royaume-Uni d’un code de bonnes pratiques (« Code ») en 2018. Ce code décrit 13 dispositions permettant aux fabricants de garantir une plus grande cybersécurité des produits connectés.
Par conséquent, ce code a également influencé les normes produites par l'Institut européen des normes de télécommunications (ETSI) : ETSI EN 303 645 Cybersecurity Standard for Consumer IoT Devices.
Lors de sa publication en 2021, l'ETSI EN 303 645 était la première norme mondiale de cybersécurité pour les produits IoT grand public. Il présente une série de 68 dispositions obligatoires et recommandées pour établir une bonne base de référence mondiale en matière de sécurité pour toute la cybersécurité IoT liée aux consommateurs.
Qui sera touché par le projet de loi PSTI ?
Comme mentionné précédemment, conformément à l'article 7 de la partie 1 du projet de loi PSTI, trois entités sont confrontées à des obligations de conformité.
Il s'agit notamment des fabricants, des importateurs et des distributeurs de produits connectables pertinents.
Les articles 8 à 24 du projet de loi définissent les principales tâches de ces entités, notamment :
- Être conscient et conforme à toutes les exigences de sécurité réglementées ;
- Fournir des certificats de conformité ;
- Enquêter et résoudre les manquements à la conformité ;
- Communiquer les détails des pannes et les remèdes aux consommateurs et aux autorités ;
- Tenir des registres des échecs et des enquêtes ultérieures
Généralement, les importateurs et les distributeurs assument les mêmes responsabilités que les fabricants, avec quelques obligations supplémentaires. S’il s’avère que le produit contient des vulnérabilités, ces acteurs sont également chargés d’empêcher sa vente au Royaume-Uni. De plus, les importateurs et/ou les distributeurs doivent contacter les fabricants basés en dehors du Royaume-Uni s'ils ne respectent pas l'une des clauses.
Le non-respect pourrait entraîner diverses sanctions déterminées par le ministère de la Science, de l'Information et de la Technologie. Chaque pénalité correspondra au degré de préjudice causé à l'utilisateur final.
Les principales mesures coercitives consistent en des avis d'arrêt et de rappel et/ou des annonces publiques de manquements à la conformité de la part de la partie contrevenante. Toute non-conformité supplémentaire peut également entraîner des sanctions financières importantes, notamment des amendes maximales potentielles de 10 millions de livres sterling, soit 4 % du chiffre d'affaires mondial de l'entreprise.
Comment pouvez-vous améliorer votre sécurité IoT ?
Gardez une longueur d’avance sur les changements réglementaires en faisant de la sécurité de l’IoT et de la confidentialité des données une priorité.
Ces réglementations appellent à des changements tangibles dans la gouvernance et la prise de décision au sein des entreprises, qui s'étendent au-delà de l'équipe de direction. De telles mesures peuvent être mises en œuvre en adoptant une approche plus proactive de vos pratiques de sécurité, vous permettant d'anticiper les défis et de minimiser les perturbations opérationnelles.
Les organisations doivent également établir et appliquer des politiques et stratégies de sécurité claires pour encourager le développement d’une culture organisationnelle qui valorise la cybersécurité. En tant que telles, les équipes informatiques ne peuvent plus rester isolées et doivent travailler en permanence avec la direction pour mettre en œuvre les changements nécessaires.
Plutôt que de considérer l'ensemble de la législation comme un fardeau, vous pouvez également les considérer comme des opportunités d'améliorer la sécurité des clients et de donner la priorité à la sécurité des réseaux.
Au-delà du Royaume-Uni, le paysage réglementaire international s’adapte continuellement pour maintenir une législation efficace face aux progrès technologiques rapides.
Alors que les réglementations en matière de cybersécurité et de confidentialité des données deviennent plus strictes, profitez-en pour inculquer dès aujourd’hui une culture de sécurité dans votre organisation.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.iotforall.com/countdown-to-the-product-security-telecommunications-infrastructure-psti-bill
