Naviguer dans les nouvelles normes de cybersécurité de l'IoT

Alors que l'internet des objets (IoT) continue de transformer les industries et la vie quotidienne, le besoin de mesures de cybersécurité robustes n'a jamais été aussi critique. Avec des milliards d'appareils connectés utilisés, de nouvelles réglementations sont mises en place pour sécuriser ces appareils et leurs réseaux. Aussi bien conçus soient-ils, les appareils IoT sont confrontés au risque réel de cyberattaques et de comportements malveillants après leur déploiement.

La norme EN 18031 est l'une de ces réglementations en Europe, avec des implications profondes pour les fabricants et les équipementiers (OEM). Cet article explore ce que la norme EN 18031 signifie pour votre entreprise, puis examine le projet de loi britannique sur la cybersécurité et la résilience (CS&R), qui s'aligne bien sur la norme EN 18031, même s'il n'est pas totalement harmonisé.

Bien que certaines exemptions existent pour les équipements militaires, les dispositifs médicaux, l'aviation, l'automobile et les systèmes de péage routier électronique, la norme EN 18031 s'applique principalement aux industries qui dépendent de l'IoT et des dispositifs sans fil, notamment l'électronique grand public, les soins de santé, l'IoT industriel, l'énergie, l'agriculture et les télécommunications. Les appareils de ces secteurs doivent répondre aux normes de cybersécurité pour être vendus dans l'Espace économique européen (EEE), en garantissant la sécurité, la protection des données et la prévention des fraudes. La conformité à la norme EN 18031 est cruciale - les appareils non conformes seront considérés comme dangereux et ne pourront pas être vendus légalement dans l'EEE sans le marquage CE. L'obtention du marquage CE, qui certifie la conformité aux réglementations de l'UE, est essentielle pour l'accès au marché européen. Le délai de mise en conformité est fixé au 1er août 2025 - après cette date, les appareils qui ne répondent pas aux exigences de cybersécurité seront interdits d'accès au marché.

EN 18031 : une nouvelle norme pour la sécurité de l 'IoT

La directive européenne relative aux équipements hertziens (RED) est en vigueur depuis 2017 et couvre les aspects des équipements hertziens (sans fil), notamment la sécurité, la compatibilité électromagnétique et l'utilisation du spectre radioélectrique. Elle a maintenant été renforcée pour imposer 3 exigences essentielles supplémentaires en matière de cybersécurité aux produits radio (sans fil) connectés à l'internet disponibles dans l'Union européenne (UE).

La norme EN 18031 apporte ce renforcement. Elle spécifie des exigences pour la conception, la mise en œuvre, mais aussi la gestion continue de dispositifs et de réseaux sécurisés. Le risque de failles de sécurité augmente avec le nombre d'appareils IoT, c'est pourquoi la norme EN 18031 introduit des lignes directrices essentielles pour les fabricants afin de garantir que leurs appareils sont protégés contre les cybermenaces.

La norme met l'accent sur trois nouvelles exigences essentielles en matière de cybersécurité pour les appareils IoT, telles que définies par le règlement délégué (UE) 2022/30 de la Commission, également connu sous le nom d'acte délégué RED ou, plus communément, de directive relative aux équipements hertziens.

• Protection du réseau (3(3)(d)): Les dispositifs ne doivent pas nuire au réseau ni en utiliser abusivement les ressources. Ils doivent être conçus pour prévenir les cyberattaques et garantir l'intégrité des réseaux connectés.

• Protection de la vie privée (3(3)(e)): Les appareils doivent garantir la protection des données personnelles, en s'alignant sur les lois relatives à la protection de la vie privée, telles que le RGPD, afin de protéger les informations des utilisateurs.

• Prévention de la fraude (3(3)(f)): Les dispositifs doivent intégrer des fonctions visant à prévenir les activités frauduleuses, telles que l'accès non autorisé ou la manipulation de données.

Ces trois exigences - protection du réseau, protection de la vie privée et prévention de la fraude - sont cruciales pour l'avenir de la sécurité de l'IoT. Le respect de ces normes permettra non seulement de réduire le risque de cyberattaques, mais aussi de garantir la conformité aux attentes réglementaires et de maintenir la confiance des clients.

Qu'en est-il du Royaume-Uni ? Le projet de loi CS&R

Alors que la norme EN 18031 fait autorité en Europe, le projet de loi britannique sur la cybersécurité et la résilience (CS&R) traite de la sécurité de l'IoT au Royaume-Uni. Ce projet de loi répond à des préoccupations similaires concernant la sécurisation des appareils connectés, mais il n'est pas entièrement harmonisé avec la norme EN 18031. En d'autres termes, bien que le projet de loi CS&R et la norme EN 18031 partagent le même objectif global - protéger les dispositifs IoT des cybermenaces - les deux cadres sont distincts.

Le projet de loi CS&R impose aux fabricants de respecter des normes minimales de cybersécurité pour les appareils IoT vendus au Royaume-Uni. Il s'agit notamment de sécuriser les réseaux, de garantir la confidentialité des données et de protéger contre la fraude, à l'instar des exigences de la norme EN 18031. Cependant, le projet de loi CS&R introduit des exigences de conformité spécifiques pour le marché britannique, et les entreprises qui vendent des produits IoT au Royaume-Uni et dans l'UE devront tenir compte de ces différences.

La principale distinction est que les entreprises doivent veiller à se conformer à la fois à la norme EN 18031(pour les marchés de l'UE) et au projet de loi CS&R (pour les marchés du Royaume-Uni), car les deux ensembles de réglementations, bien qu'alignés en principe, ne sont pas totalement harmonisés en termes de mise en œuvre et de cadres juridiques.

Comment le cadre de sécurité IoT de Wireless Logic répond à ces exigences

Pour répondre aux exigences essentielles de sécurité décrites à la fois dans la norme EN 18031et dans le projet de loi britannique CS&R et le NIST CSF, Wireless Logic propose un cadre de sécurité IoT complet conçu pour protéger les appareils et les réseaux sur les deux marchés. Ce cadre permet aux entreprises et aux équipementiers de répondre aux principales exigences de sécurité et de se conformer aux nouvelles réglementations. Notre capacité de détection des anomalies et des menaces revêt une importance particulière, car elle offre des fonctionnalités avancées qui vous aident à respecter la conformité tout en créant des capacités différenciées par rapport à la concurrence.

• Protection du réseau: Le cadre sécurise la communication entre les appareils et le réseau, empêchant les abus et protégeant l'infrastructure contre les cybermenaces.

• Protection de la vie privée: Il intègre le chiffrement des données, le stockage sécurisé et la conformité au RGPD et aux lois britanniques sur la protection des données, garantissant ainsi la protection de la vie privée des utilisateurs.

• Prévention de la fraude: Le framework fournit des mécanismes d'authentification forte et une surveillance en temps réel pour détecter et prévenir les activités frauduleuses.
  
  

En adoptant le cadre de sécurité IoT de Wireless Logic, les entreprises peuvent s'assurer que leurs appareils répondent aux exigences strictes de la norme EN 18031, du projet de loi CS&R(Royaume-Uni) et du NIST CSF(États-Unis), protégeant ainsi leurs produits, leurs données et leurs utilisateurs des cyber-risques émergents tout en gagnant un avantage concurrentiel.

Conclusion

L'introduction de la norme EN 18031en Europe et du projet de loi britannique sur la cybersécurité et la résilience (CS&R) représente une étape importante vers la sécurisation des dispositifs IoT. Bien que les deux réglementations aient des objectifs communs, les entreprises doivent se conformer aux deux ensembles d'exigences, car le Royaume-Uni et l'UE ont mis en place des cadres distincts. Le cadre de sécurité IoT de Wireless Logic fournit une approche structurée pour aider les entreprises à répondre à ces exigences complexes et à s'assurer que leurs appareils restent sécurisés et conformes dans les deux régions.

Êtes-vous prêt à sécuriser vos appareils IoT et à garder une longueur d'avance dans un paysage numérique de plus en plus réglementé ?