Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Sécurité : l'ANSSI en faveur de l'auto-certification des objets connectés

C'est green !
Internet 3 min
Sécurité : l'ANSSI en faveur de l'auto-certification des objets connectés
Crédits : Marc Rees (CC-BY-SA 4.0)

Pour Guillaume Poupard, directeur de l'agence française, la sécurité des objets connectés devrait passer par leur certification. L'institution discute avec la Commission, qui montre déjà son intérêt sur le sujet, avec l'idée de pousser l'auto-certification.

En fin d'année dernière, Mirai montrait l'ampleur que peuvent prendre des attaques fondées sur des centaines de milliers d'objets connectés. Suite à l'infection massive de routeurs (notamment en Allemagne) et d'appareils divers, comme des caméras IP, le sujet de leur sécurité toute relative est rapidement remonté à la surface.

L'une des illustrations les plus concrètes était le rappel massif de caméras, aux identifiants écrits en dur dans le code. Si jusqu'ici, l'Agence nationale de sécurité des systèmes d'information (ANSSI) privilégiait le dialogue, l'idée d'une labellisation commençait à émerger sérieusement. Dans son rapport de mi-parcours du marché unique numérique, la Commission affirmait travailler à l'étiquetage et la certification des objets connectés. Une perspective soutenue par l'agence européenne de sécurité... et par l'ANSSI, comme elle nous l'affirme.

L'auto-certification envisagée

Interrogé en marge du Cloud Independance Day 2017, ce matin, Guillaume Poupard affirme qu'en matière de sécurité numérique, « il nous faut un système d'évaluation et de labellisation adaptable, pour que tout ne soit pas au même niveau ». Les objets connectés représenteraient l'un des niveaux de base, ce qui ouvre la voie à l'auto-certification par les fabricants.

« Quand on fait un chiffreur IP [passerelle de VPN], je ne crois pas à l'auto-certification. Mais quand ce sont des objets dont l'impact, même en termes de défaillance de sécurité, n'est pas énorme, cela a le grand mérite de passer à l'échelle, explique le directeur de l'ANSSI. C'est cette idée que nous travaillons avec la Commission. »

Avec de tels soutiens, l'idée de labels dédiés à l'Internet des objets est donc en très bonne voie en Europe. L'efficacité d'un tel tampon reste encore à éprouver.

Alors que le Règlement général de protection des données (RGPD) doit protéger le traitement des données personnelles, il existe encore peu de contraintes concrètes quant aux appareils qui les collectent. Pour l'ENISA, il faudrait d'ailleurs imposer un niveau de sécurité minimal à ces équipements, en jouant par exemple sur les polices d'assurance des sociétés qui les utilisent.

L'agence européenne propose d'ailleurs de favoriser les entreprises européennes dans ce domaine. L'idée est soutenue par Olivier Midière, ambassadeur du numérique du Medef, qui déclare au Cloud Independance Day qu'il y a un vrai besoin d'une vraie production industrielle de ces objets en France, dans l'idée de soutenir la souveraineté nationale sur la question.

Un label ESCloud bientôt sous pavillon européen ?

Pour sa part, l'ANSSI est déjà habituée aux labels, l'une de ses missions étant la certification d'offres et de produits. En matière de cloud, fin 2016, l'institution lançait le label SecNumcloud, avec quelques premiers prestataires lauréats. Pour éviter une démarche franco-française, il a été immédiatement complété par le label franco-allemand ESCloud, l'Allemagne contribuant via son étiquetage « C5 ».

Guillaume Poupard affirme que, si ESCloud est un appel à tous les pays européens, aucun n'y a encore répondu à sa connaissance. « À mon avis, l'étape d'après sera une reprise du sujet par la Commission elle-même, avec un label directement européen » nous déclare-t-il.

« On travaille beaucoup en ce moment avec la Commission sur le sujet global de l'évaluation européenne. Pour éviter une fragmentation nationale insupportable ou des accords mondiaux avec une barre si basse que cela n'a plus beaucoup de sens » poursuit le responsable, dont l'agence exploite toutes les voies à sa portée pour diffuser sa parole auprès des institutions.

9 commentaires
Avatar de janiko Abonné
Avatar de janikojaniko- 06/06/17 à 12:37:50

Il a rasé la barbe, le Poupard...

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 06/06/17 à 13:09:54

Appelez moi Cassandre...

Avatar de AltreX Abonné
Avatar de AltreXAltreX- 06/06/17 à 13:25:13

haha bien vu ;)

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 06/06/17 à 13:33:20

tu pourrais me donner 5 nombres (distincts) entre 1 et 50 et deux entre 1 et 12 (distincts aussi) ?
C'est pour une expérience sociale :transpi:

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 06/06/17 à 13:35:35
Avatar de janiko Abonné
Avatar de janikojaniko- 06/06/17 à 13:42:37

WereWindle a écrit :

tu pourrais me donner 5 nombres (distincts) entre 1 et 50 et deux entre 1 et 12 (distincts aussi) ?
C'est pour une expérience sociale :transpi:

Mouais, faut les donner en message privé, sinon il faudra diviser les gains par le nombre de lecteurs, et on en trouve partout, n'est-ce pas Guénaël ?

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 06/06/17 à 13:44:20
  • je connaissais pas "chiffreur IP"
    • Pour l'histoire des labels, ça me rappelle le China Export qui ressemblait à quelque couilles près au label CE :D

127.0.0.1 a écrit :

pas de problème... :D

c'est de la triche, je pouvais faire la même avec Excel :transpi:
Moi je voulais l'avis de celui qui "voi[t] des gens qui sont morts" :mdr:

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 06/06/17 à 13:46:50

voila: 01-07-21-30-46 / 02-04

je vois également que si tu joues ces chiffres, tu ne vas pas gagner le gros lot. :8

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 06/06/17 à 13:49:10

c'est le souci quand on prend les dates de naissance : c'est dur de couvrir toutes les possibilités de choix :mdr:
(je vais peut-être sacrifier deux euros juste pour voir et éventuellement te gwaker :devil: )

Édité par WereWindle le 06/06/2017 à 13:49
Il n'est plus possible de commenter cette actualité.