Les États-Unis adoptent une loi sur l'amélioration de la sécurité des Objets Connectés

Dans un effort bipartisan, la Chambre des Représentants des États-Unis a adopté un nouveau projet de loi visant à accroître la sécurité des appareils connectés. Elle porte le nom d’IoT Cybersecurity Improvement Act (Loi d’Amélioration de la Cybersécurité de l’Internet des Objets), et doit encore passer par le Sénat américain, puis être promulguée par le président des États-Unis.

De plus en plus de pays se rendent compte que la sécurité de l’Internet des Objets est une question sérieuse, et les États-Unis suivent l’exemple de l’Australie et du Royaume-Uni dans la construction d’un cadre législatif pour réglementer cette industrie.

L’IoT Cybersecurity Improvement Act est en fait une version améliorée d’un ancien projet de loi de 2017, initialement présenté par les sénateurs Cory Gardner et Mark Warner.

«La plupart des experts s’attendent à ce que des dizaines de milliards d’appareils fonctionnent sur nos réseaux au cours des prochaines années alors que le paysage de l’Internet des objets (IoT) continue de s’étendre», a déclaré le sénateur Gardner.

«Nous devons nous assurer que ces appareils sont protégés contre les attaques malveillantes alors qu’ils continuent de transformer notre société et d’ajouter d’innombrables nouveaux points d’entrée dans nos réseaux, en particulier lorsqu’ils sont intégrés aux réseaux du gouvernement fédéral», a-t-il poursuivi.

Contrairement à certaines initiatives similaires dans le monde, le projet de loi obligerait le gouvernement fédéral à n’acheter que des appareils qui répondent aux exigences de base pour empêcher les pirates d’accéder aux systèmes. Il n’essaie pas de réglementer ce que produit l’industrie IoT, mais de forcer le marché des consommateurs.

Si le projet de loi était adopté et devenait une loi, il obligerait le National Institute of Standards and Technology (NIST) à publier des normes et des directives traitant, au minimum, du développement sécurisé, de la gestion des identités, des correctifs et de la gestion de la configuration des appareils connectés.

En outre, le Bureau de la gestion et du budget (OMB) devrait publier des directives strictes et de nouvelles politiques qui devraient être revues tous les cinq ans. Le NIST devrait travailler directement avec des experts en cybersécurité et des représentants de l’industrie, ainsi qu’avec le Département de la sécurité intérieure (DHS) pour des divulgations coordonnées de vulnérabilité.

Pour l’instant, on ne sait pas quel calendrier devrait suivre la loi, mais étant donné qu’il s’agit d’un effort bipartisan, cela ne devrait pas prendre trop de temps avant qu’elle devienne réalité.