• Le Royaume-Uni est devenu le premier pays à imposer légalement des normes de cybersécurité pour les appareils IoT. Les nouvelles lois, entrées en vigueur le 29 avril, visent à protéger les consommateurs contre les cybermenaces et à renforcer la résilience du pays face à la cybercriminalité croissante.
  • Les fabricants sont tenus d'intégrer des protections de sécurité et des mots de passe difficiles à déchiffrer, de publier des politiques de divulgation des vulnérabilités pour signaler les failles de sécurité, d'indiquer les périodes minimales de fourniture de mises à jour de sécurité et de fournir des mécanismes de mise à jour sécurisée des logiciels.
  • L'industrie automobile n'a pas été incluse dans le nouveau régime et le gouvernement cherche désormais à mettre en place des réglementations de cybersécurité alternatives spécifiques aux véhicules connectés à Internet.

La loi sur la sécurité des produits et l'infrastructure de télécommunications (PSTI) du Royaume-Uni a introduit la première loi au monde à imposer légalement des normes de cybersécurité pour les appareils IoT, visant à protéger les consommateurs contre les cybermenaces et à renforcer la résilience du pays face à la cybercriminalité croissante.

Les nouvelles lois, entrées en vigueur ce lundi, obligent les fabricants à intégrer des protections de sécurité dans tout produit disposant d'une connectivité Internet, comme l'interdiction des mots de passe faciles à deviner sur les appareils IoT, tels que « admin » ou « 12345 ».

À lire aussi: Quelle est la cybermenace la plus répandue provenant des appareils IoT ?

À lire aussi: Quelles sont les deux principales préoccupations concernant les appareils IoT ?

La protection urgente des appareils IoT domestiques

Les fabricants sont également tenus, en vertu du nouveau régime, de publier des politiques de divulgation des vulnérabilités pour signaler les failles de sécurité, d'indiquer les périodes minimales de fourniture de mises à jour de sécurité et de fournir des mécanismes de mise à jour sécurisée des logiciels.

« À partir d'aujourd'hui, les consommateurs auront une plus grande tranquillité d'esprit que leurs appareils intelligents sont protégés contre les cybercriminels, alors que nous introduisons des lois inédites qui garantiront la sécurité de leur vie privée, de leurs données et de leurs finances », a déclaré le vicomte Camrose, ministre de la Cybersécurité.

L'urgence de telles protections est évidente. Selon un groupe de défense des consommateurs, une maison intelligente typique pourrait subir plus de 12 000 tentatives de piratage en une semaine, avec près de 2 700 tentatives de deviner des mots de passe faibles sur seulement cinq appareils. Des attaques comme l'incident dévastateur du botnet Mirai en 2016 ont également été un signal d'alarme.

Les normes de cybersécurité font partie de la stratégie nationale de cybersécurité du Royaume-Uni, dotée de 2,6 milliards de livres sterling. Elles reflètent l'engagement du gouvernement à faire de la Grande-Bretagne l'endroit le plus sûr au monde pour les activités en ligne, alors que les cybermenaces augmentent parallèlement aux taux d'adoption de l'IoT.

« Les entreprises ont un rôle majeur à jouer dans la protection du public en veillant à ce que les produits intelligents offrent une protection continue contre les cyberattaques », a déclaré Sarah Lyons, directrice adjointe pour l'économie et la société au Centre national de cybersécurité. « Cette loi historique aidera les consommateurs à prendre des décisions éclairées. »

Alors que l'industrie automobile était initialement incluse, le gouvernement cherche désormais à mettre en place des réglementations de cybersécurité alternatives spécifiques aux véhicules connectés à Internet.