Vers une réglementation européenne pour la sécurité de l’IoT ? La question n’est pas nouvelle, jusqu’au niveau des instances concernées. Mais on en reparle après un « coup de projecteur » à l’occasion du discours annuel sur l’État de l’Union.
« Si tout est connecté, tout peut être piraté », a déclaré Ursula von der Leyen. La présidente de l’UE venait d’aborder le sujet de la politique européenne de cyberdéfense. Et avait prêché la « définition de standards communs » sous l’égide d’une loi « cyber-résilience ».
Dans l’absolu, Ursula von der Leyen n’a jamais fait directement référence à l’Internet des objets. Les défenseurs d’une telle loi se sont toutefois empressés de rebondir sur ses propos. Parmi eux, Bart Groothuis, du Parti populaire pour la liberté et la démocratie (Pays-Bas), député européen et rapporteur de la directive NIS 2.
On a également réagi du côté d’Euroconsumers. Le groupement d’organisations de consommateurs (Belgique, Espagne, Italie, Portugal) a rappelé les résultats de son enquête #TheHackableHome. Dans ce cadre, il a démontré la fragilité de l’IoT domestique.
L’UE esquisse des pistes dans sa « stratégie de cybersécurité pour la décennie numérique »*, adoptée le 16 décembre 2020. Le Conseil de l’Europe l’a adoubée en insistant – en particulier – sur le point suivant :
On ne part pas de rien. Parmi les pièces maîtresses, il y a le Cybersecurity Act de 2019. Le texte définit un cadre pour harmoniser les méthodes d’évaluation et les niveaux d’assurance de la certification de cybersécurité. Il accompagne les travaux de l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information). Laquelle a déjà élaboré un socle potentiel, en l’objet de schémas applicables aux services cloud.
La Commission européenne a par ailleurs des initiatives à court terme. Entre autres, traiter l’aspect cybersécurité dans les actes juridiques. En première ligne, ceux relevant du « nouveau cadre législatif » relatif à la mise de produits sur le marché intérieur. Par exemple, la directive sur les équipements radioélectriques (2014/53/UE).
En matière de standardisation, le Conseil européen se réfère également à la norme EN 303 645 de l’ETSI pour les objets connectés « grand public ».
En France, le Sénat avait adopté, en 2018, une résolution européenne sur la régulation de l’IoT. Elle appelait l’UE à mettre rapidement en place une certification des objets connectés incluant :
Bien qu’elle semble privilégier une approche européenne, la France ne part pas non plus de rien. Elle a notamment son Code de la consommation. Le Parlement a déjà suggéré de l’adapter pour « prévoir quels opérateurs de services aux personnes par l’intermédiaire d’objets connectés sont tenus de délivrer à ces personnes une information loyale, claire et transparente sur les conditions générales d’utilisation de ces services ».
* Cette stratégie englobe aussi des développements technologiques. Dont huit projets financés chacun à hauteur de 5 millions d’euros. Parmi eux :
Illustration principale © garrykillian – Adobe Stock
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…