Sécurité des produits QFP
Questions fréquemment posées sur la spécification de sécurité des appareils IoT de sécurité des produits et son programme de certification.
Quel est l’objectif du groupe de travail sur la sécurité des produits ?
L'objectif du groupe de travail sur la sécurité des produits est de développer un programme de certification de sécurité des produits éclairé par les meilleures pratiques de sécurité, les capacités techniques et les réglementations de sécurité des produits existantes utilisées pour garantir la sécurité des appareils IoT et, à terme, accorder une marque reconnue par les consommateurs que les produits qu'ils que vous utilisez satisfont à un seuil de sécurité de base et peuvent être approuvés par les régulateurs comme satisfaisant aux exigences de sécurité applicables. Des laboratoires de tests agréés sont employés pour délivrer cette marque à grande échelle.
Qu'est-ce que la sécurité des produits et en quoi diffère-t-elle de la sécurité des protocoles ?
Des normes telles que Zigbee et Matter définir les exigences pour la sécurité des protocoles réseau. Le Product Security Working Group les complète en créant un programme de certification pour la sécurité des produits dans leur ensemble, incluant des fonctionnalités de sécurité telles que le démarrage sécurisé qui sont inhérentes au produit mais ne font pas partie d'un protocole réseau. De plus, ce programme est disponible pour les produits qui n'implémentent aucun protocole standardisé par le Alliance.
Pourquoi avons-nous besoin du groupe de travail sur la sécurité des produits alors que les autres Alliance les technologies ont déjà des exigences de sécurité pour leurs certifications ?
La certification de sécurité des produits diffère considérablement des tests fonctionnels et d'interopérabilité utilisés par nos autres groupes de travail. En matière de sécurité des produits, les testeurs doivent vérifier non seulement qu'un produit fonctionne et interfonctionne correctement, mais également qu'il peut résister à certaines attaques hostiles. Ainsi, la certification de sécurité des produits nécessite différentes compétences et méthodes.
Par exemple, un produit doté d'un mot de passe administrateur ou d'une porte dérobée bien connu peut réussir les tests fonctionnels et d'interopérabilité, mais pas les tests de sécurité du produit.
Pourquoi la Alliance devez-vous créer une certification de sécurité des produits ?
Les attaques contre les systèmes IoT continuent de croître, en nombre, en sophistication et en impact. Ces attaques exploitent toute vulnérabilité possible au-delà de la portée traditionnelle des protocoles de connectivité, qui se limitent généralement à sécuriser la mise en service et les données en transit.
Des programmes nationaux de certification/étiquetage de cybersécurité commencent à émerger (par exemple à Singapour et en Finlande) et les gouvernements réagissent par des normes et des réglementations ; pour en citer quelques-uns déjà existants ou en devenir :
- États-Unis – NIST IR 8259, NIST IR 8425, NIST SP 800-213 et diverses lois
- UE – Loi sur la cybersécurité, directive révisée sur les équipements radio (RED) et loi sur la cyber-résilience
- Normes de référence telles que CEI 62443 et ETSI EN 303 645
- Royaume-Uni – Loi de 2022 sur la sécurité des produits et les infrastructures de télécommunications
- Singapour, Finlande, Chine, etc.
La divergence persistante des exigences et la prolifération des différents programmes de certification entraîneront des coûts élevés et une complexité pour prouver la sécurité des produits avant leur mise sur le marché, en particulier pour les acteurs mondiaux.
Votre AllianceL'ambition de est de remédier à cette situation en tirant parti de ses atouts et de son expertise : en fournissant un programme de certification valorisé sur le marché, développé dans le cadre d'un processus de normalisation consensuel, informé par les meilleures pratiques de sécurité, les capacités techniques et les réglementations existantes en matière de sécurité des produits.
Comment le Connectivity Standards Alliance La certification de sécurité des produits est-elle liée aux normes nationales, régionales et internationales dans ce domaine ?
La certification Product Security est basée sur les exigences incluses dans les normes nationales, régionales et internationales liées à la sécurité des produits IoT. Nous attendons que les produits qui reçoivent le Alliance La certification de sécurité des produits sera également conforme à ces autres normes, simplifiant ainsi le processus de certification pour les fabricants de produits et les consommateurs.
Combien Alliance les entreprises membres sont-elles impliquées dans le groupe de travail sur la sécurité des produits ?
Au moment de la publication de la spécification Product Security 1.0 IoT Device Security, il y avait près de 200 Connectivity Standards Alliance Entreprises membres promoteurs et participants représentées au sein du groupe de travail sur la sécurité des produits.
Quelles sont les caractéristiques et exigences de sécurité incluses dans la spécification et qui doivent être certifiées par le Alliance? Que signifie ou implique un produit sécurisé sous cette marque ?
La spécification de sécurité des appareils IoT de Product Security comprend des dizaines de dispositions spécifiques en matière de sécurité des produits. Les fabricants d'appareils IoT doivent attester de leur conformité à ces dispositions, en fournissant des justifications et des preuves à un laboratoire de test agréé certifié possédant une expertise en évaluation de sécurité et une expérience dans la certification de produits relatifs à cette spécification.
- Les exigences spécifiques incluent
- Identité unique pour chaque appareil IoT
- Aucun mot de passe par défaut codé en dur
- Stockage sécurisé des données sensibles sur l'appareil
- Communications sécurisées d’informations pertinentes pour la sécurité
- Mises à jour logicielles sécurisées tout au long de la période de support
- Processus de développement sécurisé, y compris la gestion des vulnérabilités
- Documentation publique concernant la sécurité, y compris la période de support
Ensemble, ces exigences garantissent que les exigences fondamentales en matière de sécurité ont été respectées.
En cas de certification, la marque vérifiée pour la sécurité du produit doit-elle figurer sur l'appareil ou l'emballage ?
Non, la marque vérifiée sera facultative pour que les fabricants d'appareils puissent l'apposer sur l'appareil ou l'emballage. Ils peuvent suivre le programme de certification et revendiquer la certification sans présenter la marque.