IoT : la Californie passe une loi pour davantage de sécurité


L'état américain de Californie a sauté le pas en faisant de la sécurité de l’Internet des objets (IoT) une obligation légale, afin d’imposer aux constructeurs une prise de conscience du volet sécurité qui laisse bien souvent aujourd’hui à désirer.

Le gouverneur de la Californie, Jerry Brown, a entériné le 28 septembre dernier une loi sur la cybersécurité à destination des objets connectés, faisant de la Californie le premier État à adopter une telle loi. Baptisée « SB-327 », celle-ci a été présentée l’année dernière et a été adoptée au Sénat fin août. À compter du 1er janvier 2020, tout fabricant d’un appareil qui se connecte « directement ou indirectement » à Internet devra l’équiper de fonctions de sécurité « raisonnables » afin de protéger ce dernier, et les données qu’il contient, contre tout accès, modification ou divulgation non autorisés. S’il est possible d’y accéder en dehors d’un réseau local, ce dernier se devra de posséder un mot de passe unique ou de forcer les utilisateurs à définir leur propre mot de passe lors de leur première connexion. Cela signifie qu’il n’y aura plus de mot de passe générique par défaut, qu’un pirate pourrait facilement deviner.

Bien que cette loi ait été saluée comme un bon point de départ, la plupart des experts en cybersécurité et internautes n’ont pas manqué de pointer du doigt l’analphabétisme technologique des législateurs ainsi que l’insuffisance des exigences de sécurité imposées, jugées encore beaucoup trop vagues.

Espérons tout de même que d’autres pays s’en inspireront.

Et toi, que penses-tu de la loi de l’état de Californie pour la sécurité des objets connectés ? Penses-tu que cette loi pourrait inspirer les législateurs français en terme d’IoT ?


Les 10 conseils de la Cnil pour sécuriser l’usage de tes objets connectés :
  • vérifier à minima que l’objet ne permet pas à n’importe qui de s’y connecter, par exemple en vérifiant que son appairage avec un smartphone ou depuis Internet nécessite un bouton d’accès physique ou l’usage d'un mot de passe ;
  •  changer le paramétrage par défaut de l’objet, comme le mot de passe ou le code PIN ;
  •  sécuriser l’accès à l'écran de déverrouillage du smartphone (ou de la tablette) et le réseau Wi-Fi utilisé avec l'objet connecté (mot de passe, schéma, empreinte digitale…) ;
  •  être attentif concernant sa vie privée et celle des autres si l’objet connecté est associé à des réseaux sociaux, notamment en désactivant le partage automatique des données ;
  •  s’assurer de la possibilité d’accéder aux données et de les supprimer ;
  •  éteindre l’objet quand il ne sert pas pour éviter la captation de données sensibles ;
  •  utiliser des pseudonymes au lieu des véritables noms et prénoms ;
  •  ne communiquer que le minimum d’informations nécessaires au service (par exemple, donnez une date de naissance au 1er janvier si le système a besoin de déterminer un âge) ;
  • créer et communiquer une adresse de messagerie différente de l'adresse qui serait partagée par les personnes du foyer ;
  • utiliser la fonction « réinitialiser les paramètres d'usine » de l’objet avant de le mettre au rebut.

Matthieu Dubois

Lexique :
  • L’IoT est l’acronyme de Internet Of Things (Internet des Objets en français). Le terme IoT est apparu la première fois en 1999 dans un discours de Kevin ASHTON, un ingénieur britannique. Il servait à désigner un système où les objets physiques sont connectés à Internet. Il s’agit également de systèmes capables de créer et transmettre des données afin de créer de la valeur pour ses utilisateurs à travers divers services. Au fil du temps, le terme a évolué et il englobe maintenant tout l’écosystème des objets connectés.
  • La Cnil (Commission Nationale de l’Informatique et des Libertés) est le régulateur des données personnelles. Elle accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits.

Source :



Commentaires

Enregistrer un commentaire