En outre, dès 2024, les appareils électroniques intelligents grand public devront faire l’objet de tests de sécurité, et ne pourront plus être fournis avec un mot de passe par défaut faible. La mise à jour du logiciel doit être aussi simple que possible. Il en va de même pour la gestion, la protection et la suppression des données personnelles. Le fournisseur doit en outre disposer d’une politique de divulgation responsable, afin que toute faille du logiciel puisse être signalée de manière responsable. Ces exigences de sécurité minimales sont également stipulées dans la norme ETSI EN 303 645.

« C’est la législation que tout le monde demandait et attendait », annonce Carolien Nijhuis. Selon l’EVP Internet of Things, la plupart des utilisateurs ont encore du mal à jauger la cybersécurité des appareils IoT. « Ils n’ont pas d’autre choix que de croire que leur thermostat intelligent, leur sonnette interactive et leur machine à café connectée sont sécurisés. Il n’y a pas d’échelle de qualité pour les appareils sécurisés. La nouvelle législation va changer la donne. Les appareils qui ne répondent pas à ces exigences de sécurité minimales ne sont pas éligibles pour le marquage CE. »

Une sécurité non intégrée

Selon Carolien Nijhuis, la nouvelle législation est la réponse idéale à la popularité de l’Internet des Objets, qui grimpe à un rythme phénoménal. On dénombre déjà pas moins de 35 milliards d’appareils connectés à Internet, et on devrait atteindre les 125 milliards en 2030. « Nous vivons et travaillons dans un cloud d’appareils IoT qui collectent et traitent des données sur nos vies avec la meilleure des volontés. Ils rendent la vie plus simple, plus ludique, voire plus écologique. »

Mais cette croissance spectaculaire a également ses inconvénients. En effet, on oublie souvent d’intégrer la sécurité dès le début de la conception des objets IoT. « Les appareils IoT collectent des données personnelles très sensibles et peuvent fournir des informations sur la fréquence cardiaque ou la situation géographique actuelle d’une personne, par exemple », explique Erno Doorenspleet, CTO chez KPN Security. « Sans mesure de protection, la confidentialité est compromise et de graves incidents de cybersécurité peuvent survenir. »

Il y a donc un risque que des cybercriminels épient des conversations ou observent une chambre en passant par un babyphone, un jouet ou une TV intelligente. Les hackers peuvent accéder au réseau du ménage et aux données qui s’y trouvent via une sonnette intelligente non sécurisée. Ils peuvent copier ces données pour usurper des identités. S’ils ne sont pas sécurisés, les appareils électroniques IoT grand public peuvent être intégrés à un botnet tel que Dark Nexus, grâce auquel les organisations criminelles lancent des attaques DDoS.

Kiwa et KPN à la rescousse

Cette nouvelle législation s’annonce donc comme une bonne nouvelle pour les utilisateurs de l’IoT. Mais selon Erno Doorenspleet, cela ne veut pas dire pour autant qu’il sera facile de la respecter. « Chez KPN, nous aidons les fabricants en leur proposant une certification et des conseils, en développant le produit avec eux et en intégrant la sécurité au cours du développement, et non en aval. Nous pouvons également réaliser des tests de sécurité approfondis sur un prototype dans notre laboratoire de pointe, afin de voir si le produit est conforme à la norme ETSI EN 303 645. »

En ce qui concerne la certification des appareils électroniques IoT grand public, KPN Security a conclu un accord de coopération (en anglaise) avec Kiwa, spécialiste des tests, des inspections et de la certification. Dans le cadre de cet accord, Kiwa acceptera les résultats des tests menés dans le laboratoire de KPN Security afin de certifier le produit. Cette certification est la clé de la commercialisation du produit en Europe pour le fabricant. Et pour le client, elle est la preuve que le produit est sûr d’utilisation.

Pour une société la plus sûre possible

Selon Carolien Nijhuis, la collaboration entre Kiwa et KPN s’est imposée naturellement. « Kiwa a pour slogan "We create trust around the world". Il n’est pas sans rappeler les valeurs de KPN. Les fabricants d’appareils électroniques IoT grand public peuvent compter sur l’expertise et l’expérience que KPN IoT a acquise sur le marché B2B. Nous collaborons actuellement pour résoudre le problème que posent les produits IoT non sécurisés pour la société. »

« La sécurité est inscrite dans l’ADN de KPN », conclut Erno Doorenspleet. « Les clients doivent avoir la certitude que nos services et produits sont sûrs d’utilisation. Voilà pourquoi nous investissons autant de temps et d’argent dans la cybersécurité. Les connaissances que nous avons acquises se retrouvent également dans la Politique de sécurité KPN (KSP), qui est notre norme minimale pour chaque nouveau développement. Elle reprend nos "règles de sécurité". La KSP est disponible gratuitement. Nous contribuons ainsi à la transition vers une société numérique la plus sûre possible. »

Envie d’en savoir plus sur l’évaluation, les tests et la certification des appareils électroniques IoT grand public réalisés de manière indépendante par Kiwa et KPN ? Consultez le site web spécial de Kiwa en anglais