L’administration Biden a lancé son très attendu programme d’étiquetage de cybersécurité de l’Internet des objets (IoT), qui vise à protéger les Américains contre la multitude de risques de sécurité associés aux appareils connectés à Internet.
Le programme, officiellement appelé « US Cyber Trust Mark », vise à aider les Américains à s'assurer qu'ils achètent des appareils connectés à Internet dotés de solides protections de cybersécurité contre les cyberattaques.
L’Internet des objets, un terme qui englobe tout, des trackers de fitness et routeurs aux babyphones et réfrigérateurs intelligents, a longtemps été considéré comme un maillon faible de la cybersécurité. De nombreux appareils sont livrés avec des mots de passe par défaut faciles à deviner et n'offrent pas de mises à jour de sécurité régulières, ce qui expose les consommateurs au risque de piratage.
L’administration Biden affirme que son système d’étiquetage volontaire influencé par Energy Star « élèvera la barre » en matière de sécurité de l’IoT en permettant aux Américains de prendre des décisions éclairées sur les informations d’identification de sécurité des appareils connectés à Internet qu’ils achètent. La Cyber Trust Mark américaine prendra la forme d’un logo bouclier distinctif, qui apparaîtra sur les produits répondant aux critères de cybersécurité établis.
Ce critère, créé par le National Institute of Standards and Technology (NIST) nécessitera, par exemple, que les appareils requièrent des mots de passe par défaut uniques et forts, protègent les données stockées et transmises, proposent des mises à jour de sécurité régulières et soient livrés avec des capacités de détection d'incidents.
La liste complète des normes n'est pas encore finalisée. La Maison Blanche a déclaré que le NIST commencerait immédiatement à définir des normes de cybersécurité pour les routeurs grand public « à plus haut risque », des appareils fréquemment ciblés par les attaquants. pour voler des mots de passe et créer des botnets pouvant être utilisés pour lancer des attaques par déni de service distribué (DDoS). Ces travaux seront achevés d’ici fin 2023, l’objectif étant que l’initiative couvre ces appareils lors de son lancement en 2024.
Lors d'un point de presse, la Maison Blanche a confirmé que la Cyber Trust Mark comprendra également un code QR qui sera lié à un registre national d'appareils certifiés et fournira des informations de sécurité à jour telles que les politiques de mise à jour logicielle, les normes de cryptage des données. et réparation des vulnérabilités.
« Nous savions que nous ne voulions pas créer une étiquette indiquant que ce produit avait été certifié et assuré et qu'il reste désormais sûr pour toujours », a déclaré un haut responsable de l'administration. « Le code QR vous donnera des informations mises à jour sur le conformité continue des normes de cybersécurité.
Les détaillants américains seront également encouragés à donner la priorité aux produits labellisés lorsqu'ils les placent dans les magasins et en ligne, a indiqué la Maison Blanche, et plusieurs ont déjà signé cette initiative, notamment Amazon et Best Buy. Parmi les autres grandes entreprises technologiques qui ont déjà accepté l'initiative d'étiquetage volontaire figurent Cisco, Google, LG, Qualcomm et Samsung.
Bien que l'initiative se concentre initialement sur les appareils grand public à haut risque, le ministère américain de l'Énergie a annoncé mardi qu'il travaillait avec des partenaires industriels pour développer des exigences d'étiquetage en matière de cybersécurité pour les compteurs intelligents et les dispositifs de stockage d'énergie.
