Le Royaume-Uni est devenu le premier pays à imposer légalement des normes de cybersécurité pour les appareils IoT. Les nouvelles lois, entrées en vigueur aujourd'hui, visent à protéger les consommateurs contre les cybermenaces et à renforcer la résilience du pays face à la montée de la cybercriminalité.

Dans le cadre du régime PSTI (Product Security and Telecommunications Infrastructure), les fabricants seront légalement tenus d’intégrer des protections de sécurité dans tout produit doté d’une connectivité Internet. Les mots de passe par défaut faciles à deviner comme « admin » ou « 12345 » seront interdits pour empêcher les vulnérabilités exploitées lors d'attaques passées comme l'incident dévastateur du botnet Mirai en 2016.

« À partir d'aujourd'hui, les consommateurs auront une plus grande tranquillité d'esprit en sachant que leurs appareils intelligents sont protégés contre les cybercriminels, grâce à l'introduction de lois inédites au monde qui garantiront la sécurité de leur vie privée, de leurs données et de leurs finances », a déclaré le vicomte Camrose, ministre de Cyber.

L’urgence de telles protections est claire. Selon le groupe de défense des consommateurs Which?, une maison intelligente typique pourrait faire face à plus de 12 000 tentatives de piratage en une semaine, avec près de 2 700 tentatives pour deviner des mots de passe faibles sur seulement cinq appareils. Alors que 99 % des adultes britanniques possèdent au moins un appareil intelligent et que les ménages comptent en moyenne neuf produits connectés, la technologie IoT non sécurisée présente des risques importants.

« Les entreprises ont un rôle majeur à jouer dans la protection du public en garantissant que les produits intelligents offrent une protection continue contre les cyberattaques », a déclaré Sarah Lyons, directrice adjointe de l'économie et de la société à l'agence de cybersécurité NCSC. « Cette loi historique aidera les consommateurs à prendre des décisions éclairées. »

Au-delà de l’interdiction des mots de passe faciles à deviner, le nouveau régime oblige les fabricants à :

  • Publier des politiques de divulgation des vulnérabilités pour signaler les failles de sécurité
  • Indiquer les périodes minimales pour fournir des mises à jour de sécurité
  • Fournir des mécanismes pour mettre à jour les logiciels en toute sécurité

« Lequel? a joué un rôle déterminant en faisant pression pour que ces lois accordent aux consommateurs des protections vitales contre les pirates informatiques qui volent des informations personnelles », a déclaré Rocio Concha, directeur politique du groupe. « Mais nous attendons des marques qu'elles agissent correctement envers leurs clients dès le premier jour. »

Les normes de cybersécurité font partie de la stratégie nationale de cybersécurité du Royaume-Uni, d'un montant de 2,6 milliards de livres sterling. Ils reflètent l'engagement du gouvernement à faire de la Grande-Bretagne l'endroit le plus sûr au monde pour les activités en ligne alors que les cybermenaces augmentent parallèlement aux taux d'adoption de l'IoT : plus de la moitié des foyers britanniques possèdent désormais des téléviseurs intelligents, tandis qu'environ la moitié disposent d'assistants vocaux ou d'appareils portables.

Alors que l’industrie automobile était initialement incluse, le gouvernement cherche désormais à adopter des réglementations alternatives en matière de cybersécurité, spécifiques aux véhicules connectés à Internet.

David Rogers, PDG du cabinet de conseil Copper Horse, a salué ces normes : « Les fabricants ne devraient pas proposer des produits si faibles et si peu sûrs qu'il serait facile de les pirater et de les prendre en main. Cela s’arrête maintenant.

La collaboration de l’industrie était essentielle au développement de « protections transformatrices », ont déclaré les responsables. Les consommateurs peuvent également signaler les produits non conformes au régulateur. Toutefois, l’application de ces mesures sera cruciale.

« L'OPSS doit fournir des orientations claires et prendre des mesures énergiques contre les fabricants s'ils bafouent la loi », a prévenu Concha.

La législation britannique pourrait créer un précédent pour d'autres pays cherchant à légiférer sur les cyberprotections des consommateurs pour les appareils IoT.

Des conseils complets sur le PSTI peuvent être trouvés ici.