CERTIFICATION DE SÉCURITÉ IoT : QUE PEUT-ON FAIRE ?

· IoTSecurity,SecurityAssurance,CommonCriteria,Certification

Le marché des produits IoT destinés à un usage personnel et professionnel a récemment connu une croissance sans précédent et ne montre aucun signe de ralentissement. Malgré la demande, les exigences de sécurité dans l’IoT restent floues et mal réglementées. De nombreux programmes sont sur la table et font l’objet de discussions animées, mais en l’état actuel des choses, le même cadre des Critères communs mis en place dans les années 1990 est utilisé aujourd’hui. Compte tenu du cycle de vie rapide des produits et de la nature flexible des opérations commerciales en 2018, de nombreux experts en informatique appellent à des améliorations du processus d’accréditation de sécurité existant.

Voici quelques projets intéressants susceptibles de compléter le cadre existant. Il s'agit notamment des éléments suivants :

  1. Un système de certification mondial

Le refrain le plus courant dans les débats sur l’accréditation de la sécurité de l’IoT est peut-être la nécessité d’un organisme de certification mondial garantissant ainsi les avantages suivants :

  • Tous les différents organismes de certification qui existent aujourd’hui fonctionneraient enfin sur une « base équivalente, comparable et concurrentielle »
  • Les utilisateurs finaux ont l’assurance que la certification est valide, quelle que soit la taille ou la portée de l’organisme délivrant le certificat.
  • Cela permettrait de réduire les coûts pour les entreprises qui cherchent à obtenir une accréditation de sécurité. À l’heure actuelle, la demande de nombreuses certifications étrangères est un processus coûteux et chronophage. Par conséquent, de nombreuses entreprises ne cherchent pas à s’implanter sur les marchés internationaux.

2. Correction des problèmes structurels dans le modèle CC

Depuis plus de 20 ans, le modèle de normalisation des Critères communs est la référence en matière de certification de sécurité dans tous les secteurs d’activité. Au cours de cette période, le cycle de vie des produits s’est raccourci, les entreprises sont devenues beaucoup plus agiles, et pourtant le processus de vérification reste générique.

Le modèle CC commence par une évaluation des risques individuels, qui définit un objectif de sécurité pour le produit. Chaque objectif de sécurité est généralement basé sur un profil de protection (PP) spécifique, qui ne concerne parfois qu'une partie du produit. Cela définit les exigences fonctionnelles de sécurité et les exigences d'assurance de sécurité qui seront évaluées par un évaluateur tiers selon la méthodologie d'évaluation CC.

L'essor des entreprises IoT a mis en évidence la lenteur et le flou du cadre réglementaire. Mais que peut-on faire pour y remédier ?

Et si nous restructurions le cadre pour :

  • Permettre un cycle de vie de fabrication de produits rapide et agile tout en prenant soin de la sécurité
  • Réduisez les coûts et le temps d'évaluation
  • Créer une incitation pour le vendeur
  • Fournir des méthodes/mesures simples aux fournisseurs
  • Fournir des méthodes/métriques simples aux évaluateurs
  • Reconnaître d'autres méthodologies d'évaluation et normes de sécurité existantes
  • Reconnaître l'auto-évaluation (pour un niveau d'assurance de sécurité de base)
  • Définir et considérer les processus de formation
  • Considérer l'environnement opérationnel complet/les processus/le contexte/le domaine dans une approche système et produit
  • Accélérez ou automatisez la maintenance des certificats lorsque cela est possible
  • Permettre au client et au vendeur de comparer différents produits de manière OBJECTIVE

3. Qu'en est-il des labels de confiance ?

L’utilisation de labels de confiance sur les produits peut être trompeuse si elle n’est pas soigneusement définie. L’utilisation d’un label général pour exprimer le risque de sécurité pour un assortiment de produits complexes, par exemple, doit être définie avec soin en tenant compte des différentes caractéristiques/composants qui peuvent varier d’un produit à l’autre. Par conséquent, la définition des profils de sécurité IoT doit être basée sur une analyse de sécurité intelligente prenant en compte la modélisation complète des menaces sur le système, le processus et le produit. Enfin, les déclarations de certificat exprimées par le label de confiance doivent délivrer un message clair au consommateur final et participer à la sensibilisation.

Conclusion

Dynamisez une infrastructure de certification de sécurité quelque peu léthargique et fragmentée. Pour que les entreprises puissent fournir des produits/solutions connectés sécurisés aux utilisateurs finaux, il faut mettre en place un cadre d’assurance de sécurité IoT adapté permettant un processus d’évaluation plus agile. Les menaces IoT ne feront que s’aggraver et sans une approche collective favorisant la transparence et la précision, il y a peu d’espoir de lutter contre ce risque accru.

S'abonner
Billet précédentBillet suivant
Photo de profil
Annuler
Utilisation des cookies
Nous utilisons des cookies pour améliorer l'expérience de navigation, la sécurité et la collecte de données. En acceptant, vous consentez à l'utilisation de cookies à des fins publicitaires et d'analyse. Vous pouvez modifier vos paramètres de cookies à tout moment. En savoir plus
Accepter tout
Paramètres
Refuser Tout
Paramètres des Cookies
Cookies nécessaires
Ces cookies sont destinés pour des fonctionnalités de base telles que la sécurité, la gestion du réseau et l'accessibilité. Ces cookies ne peuvent pas être désactivés.
Cookies pour les statistiques
Ces cookies nous aident à mieux comprendre comment les visiteurs interagissent avec notre site web et nous aident à découvrir les erreurs de navigation.
Préférence pour les Cookies
Ces cookies permettent au site web de se souvenir des choix que vous avez faits afin de fournir une fonctionnalité et une personnalisation améliorées.
Enregistrer