Cyber Sécurité

Certification Cyber ​​Trust Mark et comment les appareils IoT seront qualifiés

Christophe

Les fabricants d’appareils IoT des consommateurs se sont préparés à participer à un programme FCC – la marque de cyber-fiducie américaine – qui certifie qu’ils ont conçu leurs produits pour répondre à certaines normes de cybersécurité. L’initiative volontaire est conçue pour valider la sécurité des appareils IoT pour les avantages des consommateurs. Du point de vue d’un fabricant, les appareils IoT qui obtiennent la certification Cyber ​​Trust Mark peuvent avoir un avantage concurrentiel pour gagner la confiance des clients.

Sommaire

La Federal Communications Commission (FCC) a mis en place le programme en tant que partenariat public-privé. À la fin de 2024, il a nommé 11 sociétés comme administrateurs de labels de cybersécurité (CLAS) et la société de test basée à l’Illinois UL Solutions en tant qu’administrateur principal.

Comment fonctionne la certification Cyber ​​Trust Mark?

Le logo américain Cyber ​​Trust Mark apparaîtra sur les produits IoT de consommation sans fil qui se qualifient pour la certification, ainsi que les codes QR que les utilisateurs peuvent scanner pour accéder aux informations de sécurité spécifiques aux appareils, tels que les suivants:

  • Comment modifier les mots de passe par défaut.
  • Comment configurer solidement les appareils.
  • Informations sur l’accès aux mises à jour logicielles et aux correctifs de sécurité, s’ils ne sont pas automatiques.
  • La période de support minimum ou la date à laquelle le client ne peut plus compter sur le fabricant pour émettre des mises à jour de sécurité.

Le CLAS tiers approuvé évaluera les applications des produits et autorisera l’utilisation de l’étiquette Cyber ​​Trust Mark, les laboratoires accrédités géreront les tests de conformité et la FCC supervisera le programme.

Les produits éligibles comprennent des appareils de cuisine intelligents, des haut-parleurs intelligents, des moniteurs pour bébés, des téléviseurs intelligents, des montres intelligentes, des trackers de fitness, des caméras de sécurité à domicile, des ampoules intelligentes, des aspirateurs de robots, des ouvre-portes de garage et plus encore.

A LIRE AUSSI :  Les experts mettent en garde contre la porte dérobée macOS cachée dans les versions piratées de logiciels populaires

Comment les appareils peuvent-ils se qualifier pour la certification Cyber ​​Trust Mark?

Pour se qualifier pour utiliser l’étiquette Cyber ​​Trust Mark, les fabricants devront équiper leurs appareils IoT avec des capacités de cybersécurité clés.

Bien que les exigences officielles du programme soient toujours en cours d’examen à la mi-2025, la FCC s’attend à ce qu’elles s’alignent étroitement avec les recommandations existantes suivantes du NIST.

Identification de l’appareil

Chaque dispositif IoT doit avoir un identifiant logique et physique unique qui distingue l’appareil de tout autre modèle IoT, même celui qui est identique. L’identifiant physique unique doit être évident, comme un numéro de série gravé dans le boîtier de l’appareil ou imprimé sur une étiquette fixée sur le boîtier. Le logiciel de l’appareil fournit l’identifiant logique unique à d’autres appareils et réseaux avec lesquels il interagit – par exemple, une adresse MAC pour une interface réseau. Ces identifiants facilitent la détermination de quel périphérique est impliqué si un problème de sécurité se produit.

Configuration de l’appareil

Chaque appareil IoT doit être configurable – c’est-à-dire que son logiciel doit avoir des paramètres que les utilisateurs peuvent modifier pour modifier sa posture de sécurité. Par exemple, un utilisateur peut configurer un appareil pour vérifier, télécharger et installer automatiquement les mises à jour de sécurité, plutôt que de s’appuyer sur une intervention manuelle. Pour se qualifier pour la certification Cyber ​​Trust Mark, les appareils IoT doivent également fournir aux utilisateurs la possibilité de restaurer leurs paramètres aux configurations précédentes.

Bien sûr, il est essentiel que seuls les personnes autorisées, telles que les propriétaires d’appareils, puissent modifier les configurations. La configuration d’un appareil pour améliorer sa sécurité ne fait pas de bien si quelqu’un peut le modifier à volonté.

Protection des données

La protection des données garantit la confidentialité et l’intégrité des données que les appareils IoT stocke et transmettent, en utilisant le chiffrement et d’autres formes de cryptographie. Il permet également aux propriétaires de rendre toutes les données stockées sur les appareils inaccessibles, ce qui leur permet de revendre, de recycler ou de disposer de leurs appareils sans se soucier qu’un tiers puisse récupérer leurs données.

A LIRE AUSSI :  Tines permet aux équipes de choisir le bon niveau d'IA pour tout flux de travail

Accès logique aux interfaces

Pour éviter toute utilisation abusive des appareils IoT, les propriétaires doivent être en mesure de désactiver les interfaces locales ou réseau dont ils n’ont pas besoin.

Dans le cas d’une interface réseau nécessaire, un propriétaire doit être en mesure d’exiger une authentification afin que seuls les personnes ou les appareils autorisés puissent communiquer avec lui. Cela empêche les attaquants distants et les ordinateurs compromis d’obtenir un accès non autorisé à un périphérique IoT.

Mises à jour logicielles

Les mises à jour logicielles et correctifs réguliers et fiables aident les propriétaires à protéger leurs appareils IoT contre les vulnérabilités. À cette fin, les fabricants doivent concevoir des appareils certifiés pour effectuer ce qui suit:

  • Assurez-vous que les mises à jour logicielles sont légitimes avant l’installation.
  • Offrez une fonctionnalité de recul dans le cas où une mise à jour doit être supprimée.
  • Donnez aux propriétaires le choix d’acquérir des mises à jour automatiquement ou manuellement.

Collectivement, ces fonctionnalités permettent aux propriétaires d’appareils de garantir des mises à jour et un contrôle sécurisés lorsqu’ils se produisent.

Conscience de l’État de cybersécurité

Conscience de l’État de cybersécurité L’appareil lui-même “connaît” son état de cybersécurité actuel et peut fournir ces informations aux propriétaires à la demande. Surtout, les appareils doivent également empêcher tous les utilisateurs non autorisés de modifier les informations de l’État aux propriétaires induits en erreur.

Les recommandations du NIST qui devraient informer les exigences de certification Cyber ​​Trust Mark appellent également les fabricants de dispositifs IoT pour effectuer ce qui suit:

Karen Scarfone est la principale consultante de Scarfone Cybersecurity à Clifton, en Virginie. Elle fournit des conseils de publication en cybersécurité aux organisations et était autrefois un informaticien principal pour le NIST.

Alissa Irei est rédactrice en chef du site de Informa Techtarget Security.

Partager cet Article
Article Précédent Terminull Brigade Coins Pack Key Giveaway
Article Suivant OpenAI lance la plate-forme Jobs, s’engage à former 10m américains d’ici 2030 – Computerworld

Vous pourriez aussi aimer

Quitter la version mobile