Tribune Jean-Pierre Blum

Sécurité IOT, l’Europe déclare la guerre aux contrevenants

Publié le 15/09/2022

Le 8 septembre, l'Union européenne est sortie de sa léthargie en introduisant une stricte réglementation en matière de sécurité des objets connectés (IOT). Les fabricants seront désormais tenus d'évaluer tous les risques et de notifier les problèmes à l'UE dans les 24 heures. Les appareils intelligents devront respecter formellement les nouvelles règles sous peine d'une interdiction de commercialisation et d’exploitation accompagnée de lourdes amendes. « Enfin ! » applaudissent les cyberexperts.

Les appareils de l'internet des objets (IoT), tels que les commandes de matériels intelligentes, les automates personnels, sont de plus en plus omniprésents, ce qui rend la vie – sans doute - plus pratique, mais augmente notre techno-dépendance mais également les vecteurs par lesquels les acteurs de la menace peuvent perpétrer des cybercrimes. La proposition Cyber Resilience Act, a été officiellement présentée ce 13 septembre. Une fois la loi adoptée, les fabricants d'appareils intelligents seront tenus d'examiner les profils de risque de leurs produits et de corriger toute vulnérabilité découverte. Dans ce dernier cas (problème ou menace), la loi obligera également les entreprises à en informer l'Agence européenne pour la cybersécurité (ENISA) dans les 24 heures.

2.5% du CA mondial

Les entreprises qui ne respecteront pas les dispositions de la législation s'exposeront à de graves conséquences, le montant le plus élevé des amendes étant soit 15 millions d'euros, soit 2,5 % du chiffre d'affaires mondial. Les produits considérés comme violant la loi risquent également d’être interdits de vente dans l'UE. Les cyber-experts s'inquiètent depuis longtemps du risque de sécurité posé par les dispositifs IoT. En 2021, des instances reconnues ont signalé que plus de 1,5 milliard d'attaques avaient été menées contre ces appareils au cours des six premiers mois de l'année, soit une augmentation de plus de 100 % par rapport à la même période l'année précédente. « Compte tenu de l'approche actuelle de la cybersécurité, qui consiste à réagir et à appliquer des correctifs, il est impératif que les fabricants prennent eux-mêmes des mesures pour que leurs produits soient plus sûrs par défaut », a déclaré le professeur John Goodacre, directeur du projet Digital Security by Design de l'UKRI (United Kingdom Research and Innovation) et professeur d'architecture informatique à l'université de Manchester.

Gouvernance, rien ne sert de courir il faut partir à point

Ce nouveau projet de loi européen, à l’instar du projet de loi PSTI anglais (Product Security and Télécommunications Infrastructure), indique clairement que des incitations non commerciales sont nécessaires pour faire passer la charge de la cyberdéfense de l'utilisateur à un stade plus précoce de la chaîne d'approvisionnement. Nos amis anglais vont plus loin et à juste raison – eux – dont le gouvernement dispose d'un programme Digital Security by Design au sein du UKRI, qui déplace ce fardeau encore plus tôt dans la chaîne d'approvisionnement en étudiant comment les puces informatiques réelles de tous les systèmes numériques peuvent protéger les utilisateurs contre l'exploitation des vulnérabilités par conception. Les avantages de la loi devraient avoir une grande portée, permettant aux consommateurs comme aux entreprises ou aux hôpitaux d'utiliser leurs appareils sans craindre une panne ou l'utilisation de la connectivité IoT comme point d'escalade à partir duquel entreprendre des attaques par usurpation de droits permissions et privilèges (Active directory de Windows) avec des logiciels malveillants ou des ransomwares.

Si vous pensez que l’éducation coûte cher, demeurez dans l’ignorance

Dans le document de proposition de la loi européenne, les législateurs font valoir que l'introduction de la loi sur la cyberrésilience pourrait coûter aux entreprises jusqu'à 29 milliards d'euros par an, mais que cela permettrait d'économiser environ 290 milliards d'euros de dommages annuels. Une paille ! Mais qui correspond assez à l’évaluation du coût dévastateur (2.000 milliards de dollars américains) des attaques des hackers, mafias, Etats voyous (ou pas), industriels cyniques, etc.

Une étude menée par les régulateurs européens a montré que moins de la moitié des entreprises et organisations concernées appliquent des mesures de protection adéquates contre les cyberattaques. La taille du marché des fabricants de matériel informatique est d'environ 23 000 entreprises réalisant un chiffre d'affaires annuel combiné de 285 milliards d'euros et d'environ 370 000 fabricants de logiciels réalisant un chiffre d'affaires annuel total de 265 milliards d'euros. L'étude a également révélé que deux tiers des cyberattaques proviennent de violations détectées antérieurement que les fabricants n'ont pas corrigées - ce que les nouvelles règles exigeront pour que les produits puissent accéder au marché de l'UE. L’étude conclut, alarmante : « Ils sont touchés par le même type de faille que d'autres dispositifs IoT, l'effet d'entraînement sur les chaînes d'approvisionnement logistique serait catastrophique ».

La vertu de l’entropie de contrainte

La proposition de législation intervient un an après que Thierry Breton, commissaire chargé du marché intérieur, a déclaré que « de nouvelles règles [étaient] nécessaires pour contrer les cyberattaques sur le marché en pleine expansion des produits intelligents. Il a ajouté que que le risque d'attaques de cybersécurité en Europe augmentait avec l'explosion des objets connectés et l'utilisation accrue des données industrielles. Nous devons agir sur le plan réglementaire pour élever le niveau de sécurité au sein de notre marché unique ». Légalement c’est donc chose faite à ce jour. Si elles sont mises en œuvre, ces mesures seront les premières réglementations de l'UE qui toucheront tous les secteurs où il y a une composante numérique afin de contrer la menace des cyberattaques.

A l’instar de la mise en place du RGPD par la loi du 25 mai 2018 – 95% des site web sont encore en contradiction avec la loi, voir la condamnation d’Infogreffe ces jours-ci par la Cnil à une amende de 250 000 euros.), il faut parier qu’il y aura encore loin de la coupe aux lèvres et la réglementation trouvera bien des obstacles, bien des médiocrités, bien des lobbies, peu de contrôle et de sanctions. Il est vrai que la France n’est pas très contrôleuse. Mais ne gâchons pas notre satisfaction, c’est un pas important dans le sens de l’Histoire. Ils vont être contents au CH de Corbeil-Essonnes.