Les 3 principaux enseignements sur les réglementations et la résilience de l'IoT
- L'IoT est à la base d'infrastructures et de solutions critiques telles que la surveillance des patients et les réseaux d'énergie. Les régulateurs exigent donc des fabricants et des fournisseurs de solutions qu'ils intègrent dès le départ une disponibilité continue, des cyberdéfenses robustes, des capacités de récupération rapide et une protection solide des données.
- La législation sur l'IoT est conçue pour protéger les entreprises et les consommateurs contre les menaces à la sécurité, la perte de confidentialité des données et les dispositifs dangereux. La conformité s'étend également à la souveraineté des données et à l'itinérance permanente.
- Parmi les législations ayant une incidence sur l'IoT figurent la loi européenne sur la cyber-résilience, la loi chinoise sur la cyber-sécurité et les lois sur la sécurité des télécommunications aux États-Unis et au Royaume-Uni. Les marchés matures d'Asie-Pacifique (Japon, Corée du Sud, Australie, Singapour, Malaisie, Indonésie) et des Amériques (Brésil, Canada, Mexique) ont des législations équivalentes. En outre, il existe des réglementations sectorielles et industrielles spécifiques.
Qu'est-ce que la législation relative à l'IoT ?
La législation relative à l'IoT couvre les lois et les règlements qui s'appliquent à l'IoT. L'objectif est de protéger les consommateurs et les organisations contre les menaces à la sécurité, la perte de confidentialité des données et les dispositifs dangereux. La conformité s'étend également à la souveraineté des données et aux règles relatives à l'itinérance permanente.
Les cybermenaces ne cessent d'augmenter et les violations de données font désormais partie du quotidien. Il n'est donc pas surprenant que la législation en matière de sécurité se soit multipliée. La cybersécurité et la résilience vont de pair, car une solution IoT capable de se défendre contre les cybermenaces , de les détecter et d' y réagir rapidement est moins susceptible de subir de graves perturbations.
Parmi les législations gouvernementales ayant une incidence sur l'IoT, on peut citer la loi de l'UE sur la cyberrésilience, la loi chinoise sur la cybersécurité et les lois sur la sécurité des télécommunications aux États-Unis et au Royaume-Uni. Les marchés matures d'Asie-Pacifique (Japon, Corée du Sud, Australie, Singapour, Malaisie, Indonésie) et des Amériques (Brésil, Canada, Mexique) ont des législations équivalentes.
En outre, il existe des réglementations spécifiques au secteur et à l'industrie qui s'appliqueront en fonction de votre solution et de l'endroit où elle est utilisée. Le guide GSMA Global IoT Regulations fournit un aperçu supplémentaire utile.
Au-delà de la législation, il existe un certain nombre de normes pertinentes qui promeuvent les meilleures pratiques. Les organisations clientes peuvent insister sur certaines d'entre elles, mais qu'elles le fassent ou non, les normes, qui comprennent ISO, ETSI, NIST et EN 18031, fournissent des lignes directrices et des cadres utiles pour la résilience et la sécurité dans les nombreux aspects de l'IoT, de la chaîne d'approvisionnement à la gestion des risques, en passant par les applications et les appareils.
Les entreprises, les équipementiers et les fournisseurs de solutions doivent tenir compte de l'ensemble de la législation, de la réglementation et des normes et concevoir leurs produits en fonction de leurs priorités commerciales et de leur attitude à l'égard du risque.
À mesure que l'IoT s'intègre dans les systèmes et les infrastructures, la portée et l'application de la législation ne feront qu'augmenter. Par conséquent, la conformité n'est jamais acquise, il s'agit d'une exigence permanente et évolutive à laquelle les entreprises doivent répondre.
Législation, réglementation et normes actuelles en matière d'IdO
Ce tableau présente la législation, la réglementation et les normes applicables à l'IoT.
| Où |
Pourquoi ? |
Quoi ? |
| Chaîne d'approvisionnement |
Pour s'assurer que les produits et services de tiers sont conformes aux normes de sécurité |
ISO/IEC 27036, 28000:2022
NIST 800-161
|
| Gestion des risques |
Gérer les risques de sécurité et assurer la gouvernance |
ISO/IEC 31000
ISO/IEC 22301
NIST 800-37
|
| Réponse aux incidents |
Cadres pour le traitement et la réponse aux incidents de cybersécurité |
ISO/IEC 27017
Cloud Security Alliance (CSA)
Certification STAR
NIST SP 800-144
EN 18031
|
| Protection des données |
Réglementations régissant la protection des données personnelles et le droit à la vie privée |
GDPR, CCPA (Californie), VCDPA (Virginie) et CPA (Colorado)
ISO/IEC 27701 |
| Gestion de la sécurité |
Cadres généraux de cybersécurité pour la gestion organisationnelle |
ISO/IEC 27001
Directive NIS2 (UE)
NIST CSF
EN 18031
|
| Réseau |
Protection des infrastructures de communication et des données en transit |
ISO/IEC 27033
Directive CRA et NIS2 (UE)
NIST CSF
|
| Sécurité des applications |
Normes et cadres pour la sécurisation des logiciels et des applications |
ISO/IEC 27034
NIST 800-53 |
| Sécurité des appareils |
Focus sur le matériel, l'IoT et les systèmes embarqués |
ISO/IEC 27002
CRA de l'UE et PSTI du Royaume-Uni
ETSI EN 303645
NIST CSF
Marque de confiance cybernétique des États-Unis
EN 18031 |
| Sécurité de l'informatique dématérialisée et des infrastructures |
Lignes directrices spécifiques pour la sécurisation des environnements et infrastructures en nuage |
ISO/IEC 27017
Cloud Security Alliance (CSA)
Certification STAR
NIST SP 800-144
EN 18031 |
Ce que la réglementation de l'IoT signifie pour votre entreprise
La législation, la réglementation et les normes nous obligent à réfléchir à la résilience de l'IoT, mais la conformité - bien qu'essentielle - ne devrait pas être la force motrice.
Les temps d'arrêt entraînent des pertes financières - pertes de revenus, coûts de réparation et éventuellement amendes en cas de non-conformité. Le risque est si important qu'une étude de Forrester a révélé que plus d'un tiers des entreprises ayant subi une violation de dispositifs IoT étaient plus susceptibles de déclarer des coûts compris entre 5 et 10 millions de dollars, par rapport à celles qui avaient subi des cyberattaques sur des dispositifs non IoT. Il n'est pas toujours nécessaire d'en arriver là. Concevoir des solutions avec les conseils et le soutien de partenaires capables d'assurer la résilience des réseaux et la cyber-résilience aidera les entreprises à éviter un examen minutieux et des pénalités financières plus importantes.
Ni votre entreprise ni vos clients ne peuvent se permettre que l'IoT soit hors ligne. Dans ce cas, vos clients perdent des données, vous perdez des revenus et vous risquez de porter un préjudice potentiellement irréparable à la réputation de votre entreprise. Pour toutes ces raisons, la résilience ne peut pas être une réflexion après coup.
Meilleures pratiques pour la conformité à l'IoT
Pour respecter la réglementation relative à l'IoT, vous devez insister sur les normes les plus strictes en matière de sûreté, de sécurité et de protection des données. Vous devez intégrer la résilience dès le départ, dans tous les aspects de votre solution IoT - l'appareil, le réseau, le logiciel, les processus opérationnels et l'environnement cloud.
La conformité va de pair avec le temps de fonctionnement, la satisfaction du client et le retour sur investissement. Ne la considérez pas comme un obstacle, mais plutôt comme une aide au développement et au maintien d'une qualité de service élevée.
Travaillez en étroite collaboration avec votre fournisseur de services de communications (FSC) et les équipementiers de produits et d'appareils pour maximiser la résilience. Comprenez comment les services et les solutions qu'ils fournissent sont conformes à la réglementation en vigueur. Insistez sur le respect des normes et des meilleures pratiques du secteur.
Prendre des mesures concernant
- Résilience de l'infrastructure - redondance des réseaux et des systèmes, équilibrage des charges, mise à l'échelle automatique et basculement automatisé.
- Sécurité - utiliser un cadre de sécurité comme liste de contrôle pour la gestion des identités et des accès, l'authentification multifactorielle, le contrôle d'accès basé sur les rôles, les données cryptées, les analyses de vulnérabilité, la protection des points d'extrémité, la segmentation du réseau et la gestion des correctifs.
- Optimisation des performances des services - planification régulière des capacités, réseaux de diffusion de contenu, mise en cache et informatique de pointe
- Surveillance et maintenance prédictive - l'analyse prédictive pilotée par l'IA permet d'anticiper les défaillances.
- Automatisation et orchestration - systèmes d'autoréparation, provisionnement automatisé et mises à jour logicielles rapides et fiables
- Reprise après sinistre - sauvegardes fréquentes et tests réguliers
- Gestion du changement et gouvernance - procédures de contrôle du changement, contrôle des versions et audits des systèmes
- Communication et assistance - informer les régulateurs et les clients en cas d'incident ; équiper les clients d'outils en libre-service.
Wireless Logic peut vous aider en matière de résilience IoT et d'exigences réglementaires. Parlez à nos experts et commencez votre essai gratuit.
Foire aux questions
l'IoT est-il réglementé ?
Des réglementations s'appliquent à l'IoT. Les régulateurs reconnaissent que l'IoT est à la base d'infrastructures et de solutions critiques telles que la surveillance des patients et les réseaux énergétiques. Ils exigent donc des fabricants et des fournisseurs de solutions qu'ils intègrent dès le départ une disponibilité continue, des cyberdéfenses robustes, des capacités de récupération rapide et une protection solide des données.
Quelles sont les réglementations relatives à l'IoT ?
Les législations qui ont une incidence sur l'IoT comprennent la loi européenne sur la cyberrésilience, la loi chinoise sur la cybersécurité et les lois sur la sécurité des télécommunications aux États-Unis et au Royaume-Uni. Les marchés matures d'Asie-Pacifique (Japon, Corée du Sud, Australie, Singapour, Malaisie, Indonésie) et des Amériques (Brésil, Canada, Mexique) ont des équivalents. En outre, il existe des réglementations sectorielles et industrielles spécifiques.
Comment puis-je me conformer à la réglementation relative à l'IoT ?
Pour vous conformer à la réglementation sur l'IoT, vous devez insister sur les normes les plus élevées en matière de sûreté, de sécurité et de protection des données. Construire la résilience dès le départ, à travers l'appareil, le réseau, le logiciel, les processus opérationnels et l'environnement cloud. Mettez en œuvre la résilience de l'infrastructure, la sécurité, l'optimisation des performances des services, la surveillance et la maintenance prédictive, l'automatisation et l'orchestration, la reprise après sinistre, la gestion du changement et la gouvernance, ainsi que la communication et l'assistance. Pour plus d'informations, téléchargez le guide gratuit.
