Fabriquer des appareils plus sécuritaires pour l’Internet des Objets

Protection grâce à la conformité aux exigences réglementaires

Imaginons un hameau animé jouxtant un vaste verger nommé le Jardin des Machines Minuscules. Chaque plante du Jardin des Machines Minuscules est un appareil : certaines sont ornementales (bulbes intelligents), d’autres fruitières (réfrigérateurs connectés), d’autres sont des délicates orchidées (dispositifs médicaux portables), et d’autres enfin sont des grands arbres feuillus et productifs (contrôleurs industriels). Disséminés dans le jardin, de minuscules jardiniers mécaniques – abeilles mécaniques, arroseurs à remontoir et drones colibris – entretiennent les cultures, rendent compte de leur état et passent à l’action. Un portail unique relie le jardin à la route du village; les villageois, les marchands et les voyageurs y circulent sans cesse.

Un jour, le jardinier qui avait construit les abeilles mécaniques a quitté son atelier plus tôt que prévu, et il a oublié de bien verrouiller les extensions. Quelques abeilles s’égarèrent dans les mauvaises rangées, ouvrant accidentellement les portes des caves. Un renard curieux, rôdant sur la route, découvrit une brèche dans la clôture et s’y faufila. Il renifla les fruits, copia les clés des abeilles et, la nuit suivante, ramena d’autres renards rusés au jardin. Faute d’étiquettes claires sur les outils, les villageois ne pouvaient identifier les plantes butineuses.

Un marchand espiègle a ensuite échangé quelques abeilles et il a vendu ces secrets sur des marchés lointains. Lors des orages, les vieux caniveaux débordèrent et les messages destinés aux racines du chêne furent transmis aux orchidées, semant la confusion et causant des dommages dans tout le jardin. À la suite de ces incidents, le Conseil du Village a décidé d’instaurer de nouveaux règlements : verrouiller correctement les extensions; marquer chaque abeille de la marque de son fabricant; limiter les activités de chaque abeille; construire des portails et des clôtures plus solides et surveillés; et planifier des inspections régulières.

Le Conseil du Village a également décidé de placer quelques gardiens de confiance à des endroits stratégiques pour surveiller les renards indiscrets et les machines défectueuses. Au fil du temps, grâce à un meilleur étiquetage, à des limites plus claires et à une vigilance accrue, le Jardin des Machines Minuscules a pu prospérer à nouveau – toujours connecté et protégé, restant productif, mais bien plus résilient grâce au respect des nouvelles réglementations mises en œuvre par le Conseil du Village.

Éléments fondamentaux du Jardin des Machines Minuscules et leurs significations connexes

• Jardin — l’écosystème IDO : de nombreux types d’appareils partageant un espace et des ressources communs.
• Plantes (appareils, machines) — appareils IDO individuels présentant des valeurs, des capacités, des fonctionnalités et des sensibilités différentes.
• Abeilles mécaniques et drones de jardin — matériel, micrologiciel ou logiciel, et comportements automatisés (actionneurs, capteurs).
• Portails et clôtures — périmètres et connectivité des réseaux (routeurs, Wi-Fi, cellulaire).
• Renards et marchands — cyberattaquants malveillants, logiciels malfaisants opportunistes, menaces à la chaîne d’approvisionnement; tierces parties non fiables.
• Verrouillage des extensions ou de la marque du fabricant — paramètres par défaut sécurisés, identité de l’appareil, signature cryptographique, provenance.
• Gardiens à des points stratégiques et inspections régulières — surveillance, détection d’intrusion, gestion des correctifs, audits.
• Débordement des conduites (messages mal acheminés) — communications non sécurisées, segmentation insuffisante, mauvaise configuration.
• Étiquettes et limites — moindre privilège, contrôle d’accès, restrictions des fonctionnalités.

Leçons essentielles, concrètes et pratiques tirées du Jardin des Machines Minuscules

1. Conception anticipant les défaillances : prévoir les dysfonctionnements et considérer que certains appareils seront compromis; segmenter les réseaux informatiques et limiter les dégâts.
2. Identité et provenance : les appareils doivent prouver leur origine et recevoir un micrologiciel et des mises à jour signés.
3. Principe du moindre privilège : n’accorder à chaque appareil que les accès et les commandes strictement nécessaires.
4. Sécurité des paramètres par défaut : déployer des appareils avec des extensions verrouillées : mots de passe par défaut robustes, ports de débogage désactivés et chiffrement par défaut.
5. Visibilité et surveillance : mettre en place des mécanismes de contrôle : journaux, détection des anomalies et inventaire continuel des appareils.
6. Corrections et entretien : planifier les inspections et sécuriser les mises à jour.
7. Hygiène de la chaîne d’approvisionnement : vérifier la fiabilité des fournisseurs et des vendeurs; suivre les composantes et établir des limites de confiance.
8. Sensibilisation des utilisateurs : former les utilisateurs à reconnaître les comportements anormaux et à les signaler rapidement.

Liste de vérification rapide pour mettre en pratique l’allégorie du Jardin des Machines Minuscules

• Répertorier tous les appareils IDO et les classer par niveau de cyberrisque.
• Mettre en place une segmentation du réseau (VLAN invités, sous-réseaux IDO distincts).
• Mettre en œuvre l’identité des appareils (X.509, TPM, élément sécurisé) et un micrologiciel signé.
• Utiliser une authentification forte et éviter les identifiants par défaut.
• Activer le chiffrement des communications des appareils IDO (TLS/MQTTS).
• Déployer un système de journalisation, de surveillance et d’alerte pour les anomalies relatives aux appareils IDO.
• Maintenir un processus testé de mise à jour des correctifs/micrologiciels comprenant une fonction de restauration.
• Vérifier les fournisseurs des appareils IDO et exiger des garanties de cybersécurité lors des achats.

Objectif principal de notre Infolettre du mois de novembre 2025

L’IDO sans sécurité n’est qu’un réseau de risque

L’allégorie ci-dessus et ses applications pratiques résumées nous amènent à considérer notre environnement IDO comme un jardin vivant et en constante expansion : beau et utile, mais fragile lorsqu’il est négligé. La cybersécurité des appareils IDO est loin d’être une solution ponctuelle. Il s’agit plutôt d’une pratique continuelle : sécuriser les extensions, marquer les points de connexion, surveiller les accès et entretenir le système afin que ces machines minuscules contribuent à la prospérité de votre environnement sans attirer les cybercriminels.

En harmonie avec l’allégorie du Jardin des Machines Minuscules décrite ci-dessus, l’objectif principal de notre Infolettre de novembre 2025 est de répondre précisément à trois questions majeures concernant la fabrication des appareils IDO plus sécuritaires. Ces appareils sont des produits intégrant des éléments numériques, tels que les machines, le matériel, les micrologiciels, les logiciels et les solutions de traitement de données à distance. Notre infolettre s’articule autour de trois questions fondamentales : (1) Comment les fabricants canadiens d’appareils IDO peuvent-ils se conformer judicieusement au Règlement de l’Union européenne sur la cyberrésilience afin d’assurer leur conformité aux cadres juridiques européens? (2) Comment les producteurs canadiens d’appareils IDO peuvent-ils s’aligner rigoureusement avec le Programme américain de certification de confiance en matière de cybersécurité (U.S. Cyber Trust Mark Program) afin d’assurer la conformité de leurs appareils aux exigences du programme américain? (3) Comment les concepteurs canadiens d’appareils IDO peuvent-ils remplir professionnellement les obligations administratives du Programme NIST SP 800-213 sur la cybersécurité pour l’Internet des Objets? [3]

SECTION I

Le Règlement de l’Union européenne sur la cyberrésilience : une explication abrégée

Le Règlement de l’Union européenne sur la cyberrésilience est une réglementation de l’Union européenne qui établit des exigences contraignantes en matière de cybersécurité pour les produits comportant des éléments numériques (PCÉN). Une telle loi européenne vise à renforcer le niveau de cybersécurité minimal des matériels, micrologiciels, logiciels et solutions de traitement de données à distance commercialisés et vendus sur l’ensemble du marché de l’Union européenne. Il s’agit également d’une législation européenne adoptée pour protéger les consommateurs et les entreprises européennes contre les menaces numériques et les cyberattaques potentielles. Le Règlement de l’Union européenne sur la cyberrésilience a été promulgué en 2024 et il est entré en vigueur à la fin de 2024; de nombreuses obligations juridiques sont entrées en vigueur progressivement afin de laisser aux différents secteurs le temps nécessaire pour s’y conformer. [1]

Portée juridique, définitions clés et acteurs concernés par le Règlement de l’Union européenne sur la cyberrésilience

• Produits comportant des éléments numériques (PCÉN) : matériel, logiciels incorporés, logiciels autonomes et solutions de traitement de données à distance commercialisés et vendus sur le marché de l’Union européenne ou mis à la disposition d’utilisateurs résidant en Europe. Les services d’infonuagique et les logiciels offerts uniquement en tant que service sont généralement exclus et couverts par d’autres instruments juridiques tels que NIS2.
• Acteurs concernés : fabricants d’appareils IDO, représentants agréés, importateurs, distributeurs et certains acteurs en aval impliqués dans la mise en marché européenne des PCÉN.

Obligations indispensables pour les fabricants des appareils IDO

• Concevoir et développer des produits conformes aux principes de sécurité intégrée et de sécurité par défaut. Mettre en œuvre des mesures de sécurité basées sur l’analyse des risques tout au long du cycle de vie du produit.
• Mettre en place des processus de gestion et de divulgation des vulnérabilités, ainsi que des mises à jour de sécurité régulières pour les vulnérabilités connues.
• Maintenir la documentation technique, notamment les nomenclatures logicielles (SBOM), et effectuer des évaluations de conformité pour les produits présentant un risque élevé en matière de cybersécurité; pour de nombreux produits, les fabricants doivent produire une déclaration de conformité.
• Mettre en œuvre ou documenter les mesures de gestion des risques, les protections cryptographiques, le contrôle d’accès et la minimisation de la surface d’attaque.
• Se conformer au marquage CE (Conformité Européenne) : ce marquage atteste qu’un produit comportant des éléments numériques est conforme aux normes européennes de santé, de sécurité et de protection de l’environnement, permettant sa commercialisation au sein de la Zone Économique Européenne (ZÉE). Le marquage CE inclut désormais des exigences en matière de cybersécurité et les produits à haut risque nécessitent des évaluations de conformité effectuées par un organisme tiers.

Calendrier des échéanciers, application et sanctions

• Le Règlement de l’Union européenne sur la cyberrésilience a été promulgué le 23 octobre 2024 et il est entré en vigueur le 11 décembre 2024. Plusieurs obligations légales sont mises en œuvre progressivement. Les obligations de déclaration (prévues pour le 11 septembre 2026) et d’autres obligations spécifiques entreront en vigueur avant l’application de l’ensemble des exigences de conformité. La plupart des principales obligations légales deviendront applicables à compter du 11 décembre 2027, après des périodes transitoires pluriannuelles (par exemple : une période transitoire commune de trois ans pour de nombreuses dispositions juridiques).
• Les États membres de l’Union européenne doivent désigner des organismes de surveillance du marché et d’évaluation de la conformité. Les autorités nationales de chaque État membre de l’Union européenne veilleront à l’application du règlement et pourront imposer des amendes administratives et des mesures correctives en cas de non-conformité. Les amendes et les mesures correctives peuvent atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial en cas de non-conformité.

Répercussions concrètes pour les intervenants

• Fabricants d’appareils IDO et vendeur de logiciels : ils doivent adopter des pratiques de sécurité intégrée, élaborer une documentation technique, mettre en œuvre des processus de gestion des mises à jour et des vulnérabilités, et planifier des évaluations de conformité et, le cas échéant, des tests effectués par un tiers.
• Importateurs et distributeurs d’appareils IDO : ils doivent s’assurer que les produits qu’ils vendent sur le marché de l’Union européenne sont conformes aux exigences du Règlement de l’Union européenne sur la cyberrésilience et conserver les documents appropriés.
• Vendeurs, revendeurs et intégrateurs d’appareils IDO : ils sont soumis à une obligation de vérification au préalable afin d’éviter la mise en marché dans l’Union européenne de produits non conformes.
• Consommateurs, utilisateurs et entreprises d’appareils IDO : ils devraient bénéficier d’un niveau de cybersécurité de base plus élevé, et d’obligations de mise à jour et de divulgation plus claires de la part des fournisseurs d’appareils IDO.

Comment les fabricants canadiens d’appareils IDO peuvent-ils se conformer judicieusement au Règlement de l’Union européenne sur la cyberrésilience afin d’assurer leur conformité aux cadres juridiques européens?

Les fabricants canadiens d’appareils IDO doivent considérer le Règlement de l’Union européenne sur la cyberrésilience comme une réglementation relative à la sécurité des produits qui s’applique à tout produit comportant des éléments numériques (PCÉN) mis sur le marché ou disponible sur le marché de l’Union européenne. Principales actions à entreprendre : classer leurs produits comme PCÉN, adopter une approche de développement et de gestion des risques axée sur la sécurité dès la conception, créer ou mettre à jour la documentation technique et les processus de gestion des vulnérabilités, se préparer à l’évaluation de la conformité et à la surveillance du marché, et mettre à jour les contrats et les contrôles de la chaîne d’approvisionnement afin de prouver leur conformité.

Figure 1: Principaux attributs de conformité relatifs au Règlement de l’Union européenne sur la cyberrésilience

Procédure détaillée (étape par étape) de conformité au Règlement de l’Union européenne sur la cyberrésilience : stratégie de synchronicité pour les bénéfices des PME

1. Classification des produits IDO et cartographie de l’exposition au sein de l’Union européenne

• Répertorier tous les appareils IDO, les micrologiciels et logiciels, ainsi que toutes les solutions de traitement de données à distance; identifier les produits déjà vendus, commercialisés ou susceptibles d’être offerts dans l’UE; déterminer lesquelles constituent des PCÉN au sens du Règlement de l’Union européenne sur la cyberrésilience.

2. Mise en place d’un processus de gestion des risques reliés à la cybersécurité des produits

• Adopter une gestion des risques documentée et reproductible tout au long des phases de conception, de développement, de production et de post-commercialisation; inclure la modélisation des menaces, la réduction de la surface d’attaque et la traçabilité des exigences de cybersécurité.

3. Application des principes de sécurité par défaut et de sécurité dès la conception

• Supprimer les mots de passe par défaut, désactiver les ports de débogage, appliquer le principe du moindre privilège, intégrer une identité cryptographique (éléments sécurisés, TPM ou équivalent) et activer le chiffrement des communications par défaut.

4. Mise en œuvre de mécanismes de gestion, de divulgation et de mise à jour des vulnérabilités

• Publier une politique de divulgation des vulnérabilités; mettre en œuvre une réponse coordonnée aux vulnérabilités; mettre en œuvre un système de distribution de mises à jour sécurisé et authentifié, avec restauration et contrôles d’intégrité; documenter les SLA et les responsabilités reliées aux mises à jour.

5. Préparer la documentation technique et les preuves de conformité

• Constituer le dossier technique : description du produit, architecture, évaluation des risques, mesures de sécurité, résultats des tests, procédures de gestion des vulnérabilités, processus de mise à jour et déclaration de conformité, le cas échéant.

6. Planifier la stratégie d’évaluation et de test de conformité

• Identifier les produits nécessitant une évaluation de conformité interne ou externe; organiser des tests indépendants (tests de sécurité fonctionnelle, test à données aléatoires, validation cryptographique) et la certification, le cas échéant.

7. Désigner les rôles et les points de contact au sein de l’UE

• Si vous n’avez pas d’entité juridique dans l’UE, désigner un représentant autorisé au sein de l’UE; assurer la diligence raisonnable des importateurs/distributeurs et obtenir des garanties écrites dans les contrats concernant les obligations découlant du Règlement de l’Union européenne sur la cyberrésilience.

8. Mettre à jour les contrats d’approvisionnement et les contrats avec les fournisseurs

• Exiger des fournisseurs/sous-traitants la livraison de composantes sécurisées, de micrologiciels signés, de nomenclatures logicielles (SBOM) le cas échéant, et des engagements contractuels concernant la divulgation des vulnérabilités et les mises à jour; documenter la provenance et la sécurité de la chaîne d’approvisionnement.

9. Mise en œuvre de la surveillance et de la journalisation après commercialisation

• Gestion de l’inventaire des appareils IDO, des données de télémétrie (lorsque cela est légal et respectueux de la vie privée), de la journalisation pour l’analyse des incidents et des procédures de signalement des incidents aux autorités européennes, le cas échéant.

10. Formation du personnel et harmonisation de la gouvernance

• Désignation d’un responsable de la sécurité des produits, d’une équipe d’intervention en cas d’incident et d’un responsable de l’assurance qualité; intégrer les exigences de conformité du Règlement de l’Union européenne sur la cyberrésilience dans le cycle de vie du développement des produits et de la gestion des changements.

Liste compacte des vérifications techniques

• Identité de l’appareil : certificats X.509, éléments sécurisés ou TPM pour la signature du démarrage et du micrologiciel.
• Mise à jour sécurisée : mises à jour du micrologiciel authentifiées et vérifiées avec possibilité de restauration.
• Authentification : identifiants uniques pour chaque appareil IDO ou provisionnement obligatoire; élimination des valeurs universelles par défaut.
• Chiffrement : protection des données en transit et au repos (TLS/MQTTS ou équivalent).
• Contrôle d’accès : principe du moindre privilège, restrictions d’accès aux API et aux ports.
• Journalisation et télémétrie : journaux inviolables, flux de détection d’anomalies, contrôles de confidentialité.
• Tests : analyse statique/dynamique du code, test à données aléatoires, tests d’intrusion, audit cryptographique.
• Chaîne d’approvisionnement : traçabilité des composantes, attestations de sécurité des fournisseurs, nomenclatures de sécurité (SBOM) le cas échéant.

Mesures juridiques, commerciales et opérationnelles pour les PME canadiennes

• Désignez un représentant autorisé auprès de l’Union européenne, sauf si vous établissez une présence physique en Europe. Ce représentant recevra les communications officielles et devra tenir la documentation à la disposition des autorités de surveillance du marché.
• Mettez à jour vos contrats commerciaux (distributeurs, importateurs, fournisseurs) afin de répartir les obligations en vertu du Règlement de l’Union européenne sur la cyberrésilience, d’exercer les droits d’audit et de respecter les obligations de notification des vulnérabilités et des mises à jour.
• Préparez-vous à un horaire progressif : les obligations de déclaration s’appliquent avant les exigences de conformité complète. Par conséquent, priorisez la déclaration des vulnérabilités et la préparation de base pendant que vous constituez les preuves de conformité complète.
• Suivez les directives de l’UE et les annonces des autorités nationales de surveillance du marché. Nommez un responsable de la conformité et un conseiller juridique connaissant bien la réglementation européenne sur les produits en vertu du Règlement de l’Union européenne sur la cyberrésilience.

Tests, conformité et échéanciers

• Le Règlement de l’Union européenne sur la cyberrésilience est entré en vigueur en décembre 2024 et il prévoit une application progressive (de nombreuses dispositions s’appliquant après des périodes transitoires). Les obligations de déclaration sont mises en place avant le régime de conformité complet; il est donc conseillé d’adopter en priorité les capacités de déclaration et de mise à jour, tout en préparant l’ensemble des éléments de preuve pour l’évaluation.

• Déterminez si votre produit IDO nécessite une évaluation de conformité par un tiers ou s’il peut faire l’objet d’une déclaration automatique; mettez en œuvre un programme de tests conforme aux meilleures pratiques de l’industrie et documentez les tests dans le dossier technique.

Modèles et livrables pratiques à préparer dès maintenant

• Tableau d’inventaire des produits IDO avec classification des PCÉN et niveau de cyberrisques.
• Politique de gestion des risques de cybersécurité et modèle de cybermenaces par famille de produits pour les produits IDO.
• Politique de divulgation des vulnérabilités et plan de réponse aux incidents.
• Schéma d’architecture des mises à jour du micrologiciel et SLA de mise à jour.
• Liste de vérification des fichiers techniques (documents de conception, rapports de test, journaux, déclaration de conformité).
• Questionnaire de cybersécurité pour les fournisseurs et avenant au contrat exigeant des garanties de sécurité.

Où trouver de l’aide?

• Faites appel à un représentant autorisé de l’Union européenne et à un conseiller juridique européen spécialisé dans la cybersécurité des produits européens.
• Utilisez des laboratoires de tests de sécurité indépendants pour obtenir des preuves de conformité et, au besoin, un évaluateur tiers.
• Suivez les recommandations du Règlement de l’Union européenne sur la cyberrésilience et les guides sectoriels reconnus pour obtenir des listes de contrôle pratiques et des outils.
• Soyez prêt à intégrer le Règlement de l’Union européenne sur la cyberrésilience à vos pratiques de code source libre (Open Source).¹

1 – Conseil National du Logiciel Libre (CNLL) & Inno³. Être prêt pour intégrer le Cyber Resilience Act dans sa pratique Open-Source. Être prêt pour intégrer le Cyber Resilience Act dans sa pratique Open Source – Inno

SECTION II

Le Programme américain de certification de confiance en matière de cybersécurité (U.S. Cyber Trust Mark Program) : un aperçu général

Définition condensée relative au Programme américain de certification de confiance en matière de cybersécurité

Le Programme américain de certifications de confiance en matière de cybersécurité est un programme fédéral volontaire d’étiquetage et de certification de la cybersécurité destiné aux produits sans fil grand public de l’Internet des objets (IDO), administré par la Commission fédérale des communications (FCC). Il fournit aux consommateurs une marque facile à lire (avec un code QR) et une inscription dans un registre public indiquant qu’un produit répond à un ensemble minimal d’exigences en matière de cybersécurité et qu’il fait l’objet d’un entretien, de tests et de mises à jour continus. [2]

Objectif et portée du Programme américain de certification de confiance en matière de cybersécurité

• Objectif : aider les consommateurs à comparer la sécurité des objets connectés et inciter les fabricants à intégrer la sécurité dès la conception jusqu’au soutien après-vente.
• Portée : ce programme concerne les objets IDO sans fil grand public (par exemple : caméras intelligentes, serrures connectées, assistants vocaux) et non les équipements réservés aux entreprises. Les détails du Programme et les catégories de produits sont définis dans la réglementation, les normes et la documentation du Programme géré par la FCC.

Structure du système et gouvernance du Programme américain de certification de confiance en matière de cybersécurité

• Organisme gestionnaire : la FCC supervise le Programme et les règles établies; les rôles opérationnels sont répartis entre les autorités de certification et d’étiquetage (ACE), les laboratoires d’essais agréés et les fabricants.
• Processus de certification : les fabricants font appel à des laboratoires agréés pour les essais; les laboratoires et les ACE évaluent les résultats en fonction des exigences du Programme; les produits approuvés peuvent afficher la certification de cybersécurité et un code QR renvoyant à l’inscription au registre national des produits.
• Registre public et code QR : le code QR de la marque permet aux consommateurs d’accéder aux informations les plus récentes sur la sécurité du produit (par exemple : période de soutien et état des mises à jour) dans un registre géré dans le cadre du Programme.

Exigences techniques, tests et renouvellement reliés au Programme américain de certification de confiance en matière de cybersécurité

• Conformité aux normes : le Programme s’appuie sur des recommandations et des normes techniques, telles que NISTIR 8425 et les meilleures pratiques connexes en matière de développement sécurisé, de gestion des vulnérabilités et de mises à jour. Les exigences de test spécifiques sont mises en œuvre par les laboratoires d’essais et les accords de niveau de service (CLA).
• Tests et preuves : les produits font l’objet de tests de sécurité (tests de sécurité fonctionnelle, examen de la documentation, vérification des mécanismes de mise à jour), et les fabricants doivent démontrer leurs processus de divulgation des vulnérabilités et de mise à jour.
• Renouvellement et obligations continuelles : la certification n’est pas un événement ponctuel. Les Programmes exigent généralement un renouvellement périodique, la preuve de l’application continuelle des correctifs et la transparence concernant les cycles de vie du soutien technique. Le registre est mis à jour pour refléter l’état actuel du produit.

Implications pratiques pour les fabricants d’objets IDO

• Signalement marketing : la marque constitue un élément de différenciation pour le consommateur, susceptible d’accroître la confiance du marché et d’influencer les processus d’approvisionnement et de référencement en points de vente.
• Coûts opérationnels : prévoir des coûts reliés aux tests en laboratoire, aux frais de CLA, aux frais administratifs de mise à jour du registre, et aux investissements continuels dans les correctifs et la gestion des vulnérabilités.
• Chaîne d’approvisionnement et documentation : vous devez recueillir et tenir à jour la documentation technique, les procédures de gestion des incidents et des vulnérabilités, ainsi que les preuves de mécanismes de mise à jour sécurisés pour chaque produit certifié.

Liste de vérification pratique pour les fabricants canadiens d’objets IDO souhaitant obtenir la certification du Programme américain de certification de confiance en matière de cybersécurité

1. Identifier les produits d’objets IDO cibles : déterminer les produits sans fil grand public que vous vendez ou prévoyez de vendre aux États-Unis, et prioriser ceux bénéficiant d’une forte visibilité auprès des consommateurs.
2. Adopter les pratiques NISTIR 8425 : mettre en œuvre des contrôles de sécurité intégrés dès la conception, une gestion documentée des vulnérabilités et une architecture de mise à jour sécurisée conforme aux exigences du Programme.
3. Préparer les preuves techniques : compiler les documents de conception, les artefacts de test, les preuves de déploiement des mises à jour, la politique de soutien (durée minimale de soutien) et la politique de divulgation des vulnérabilités à soumettre aux laboratoires/CLA.
4. Communiquer rapidement avec les laboratoires/CLA accrédités : contacter les laboratoires approuvés par le Programme ou l’administrateur principal (par exemple : les organismes sectoriels désignés par la FCC) pour clarifier la portée des tests, les échéanciers et les frais.
5. Mettre en place des flux de travail opérationnels : automatiser les mises à jour du micrologiciel, les notifications clients, les mises à jour du registre via le lien QR et les procédures de réponse aux incidents/vulnérabilités.
6. Budget des coûts du cycle de vie : inclure les tests, les frais de certification/renouvellement et la maintenance continuelle dans le coût total de possession (CTP) des produits IDO.
7. Étiquetage et marketing : prévoir l’emballage et le marketing afin d’y intégrer la marque et le code QR une fois la certification obtenue, et s’assurer de l’exactitude des informations tout au long du cycle de vie du produit.

Comment les fabricants canadiens d’objets IDO peuvent-ils se conformer au Programme américain de certification de confiance en matière de cybersécurité afin d’assurer l’harmonisation de leurs appareils avec les exigences réglementaires américaines?

Les fabricants canadiens d’objets IDO devraient aborder la certification au Programme américain de certification de confiance en matière de cybersécurité comme un processus d’ingénierie et d’exploitation produit par produit : identifier les appareils IDO sans fil grand public concernés, mettre en œuvre les contrôles de base du Programme, collaborer rapidement avec des laboratoires agréés et des organismes de certification, et assurer le suivi du cycle de vie (mises à jour, divulgation, tenue du registre) pour maintenir la validité de la marque.

Figure 2 – Tableau comparatif illustrant comment aligner les fabricants canadiens d’appareils IDO avec le Programme américain de certification de confiance en matière de cybersécurité

Précisions étape par étape pour l’alignement des fabricants canadiens d’appareils IDO avec le Programme américain de certification de confiance en matière de cybersécurité : feuille de route pratique en 5 phases pour les bénéfices des PME

1. Découverte et priorisation (0 à 30 jours)

• Évaluer les appareils et identifier ceux qui pourraient être touchés (grand public, sans fil). Établir une liste de priorités en fonction du volume des ventes et de la visibilité auprès des consommateurs.
• Identifier les écarts par rapport aux directives canadiennes (par exemple : les directives du Centre canadien sur l’Internet des Objets) afin de réutiliser les contrôles et la documentation.

2. Application des exigences de sécurité aux produits (30 à 60 jours)

• Traduire les exigences de sécurité du Programme américain de certification de confiance en matière de cybersécurité en une liste de vérification contrôlable pour chaque produit : contrôles de sécurité intégrés, gestion des vulnérabilités, mécanisme de mise à jour, période de soutien minimale et champs d’information destinés aux consommateurs pour l’inscription au registre.
• Produire une fiche d’une page par modèle d’information sur la sécurité, correspondant aux métadonnées QR du registre.

3. Correction et renforcement (60 à 120 jours)

• Mise en œuvre de contrôles techniques : identité unique de l’appareil, mises à jour sécurisées signées avec restauration, communications chiffrées, suppression des identifiants par défaut et contrôle d’accès.
• Réalisation de tests de sécurité fonctionnels à l’interne et documentation des résultats pour transmission au laboratoire.

4. Certification et inscription (120 à 180 jours)

• Collaboration avec des laboratoires d’essais agréés et une autorité de certification/d’étiquetage (ACE) pour confirmer les preuves et obtenir l’approbation de la marque; budgétisation des frais de laboratoire et d’ACE.
• Publication de l’entrée d’enregistrement et du code QR conformément aux règles du programme; s’assurer que l’emballage et les ressources numériques incluent le code QR.

5. Exploitation et renouvellement (pratiques continuelles)

• Maintien des processus de divulgation des vulnérabilités, application rapide des correctifs, mise à jour du registre en cas de changement d’état du produit et planification des tests/renouvellements périodiques requis par le Programme.
• Suivi des coûts du cycle de vie (tests, entretien, renouvellements) et intégration de ces coûts dans le coût total de possession (CTP) du produit.

Liste de contrôle détaillée par fonctionnalité

• Gouvernance et rôles
  • Désigner un responsable de la sécurité des produits et un responsable du registre/de l’étiquetage.
  • Allouer un budget pour les tests en laboratoire, les frais de CLA et le soutien du cycle de vie.

• Documentation et déclarations
  • Déclarations de sécurité pour le consommateur (une page); politique de divulgation des vulnérabilités; calendrier de soutien et de mise à jour; dossier technique décrivant l’architecture et le mécanisme de mise à jour.

• Ingénierie sécurisée
  • Identité unique de l’appareil IDO (certificats ou élément sécurisé); démarrage sécurisé lorsque possible; suppression des paramètres universels par défaut; application du principe du moindre privilège.

• Mises à jour et correctifs
  • Mises à jour OTA authentifiées et vérifiées; mécanisme de restauration; télémétrie des mises à jour validées pour analyse en laboratoire.

• Gestion des vulnérabilités
  • Politique de divulgation publique, processus de triage, SLA pour les correctifs/atténuations et preuve de divulgation coordonnée.

• Tests et preuves
  • Tests de sécurité fonctionnels, résumé des tests d’intrusion, résultats des analyses statiques/dynamiques, tests de distribution des mises à jour et analyse cryptographique des algorithmes concernés.

• Opérations de registre et d’étiquetage
  • Processus de mise à jour des métadonnées du registre; Plan de gestion du cycle de vie des codes QR (le pointeur numérique doit toujours refléter l’état actuel).

• Chaîne d’approvisionnement et achats
  • Questionnaires de sécurité des fournisseurs; exigences de provenance des micrologiciels; droits contractuels en matière de coopération relatives aux vulnérabilités et d’accès aux preuves.

Lacunes courantes et comment les éviter

• Considérer la certification comme une opération ponctuelle : concevoir des processus permettant de gérer les obligations continuelles (correctifs, mises à jour du registre).
• Sous-estimer le périmètre d’intervention des laboratoires : collaborer avec les laboratoires/CLA dès le début pour définir la portée et éviter les reprises.
• Preuve de mise à jour insuffisante : les laboratoires testent le mécanisme de mise à jour; la journalisation et la télémétrie permettant de constater les mises à jour sont souvent nécessaires.
• Incohérences entre l’emballage et le marketing : n’utiliser la marque et le code QR qu’après s’être assuré que la certification et l’inscription au registre sont effectuées et à jour.

Correspondance rapide avec les pratiques des PME canadiennes (possibilités de réutilisation)

• Utiliser le Guide sur l’Internet des Objets produit par le Centre canadien pour la cybersécurité comme base d’ingénierie, puis étendre les preuves pour répondre aux exigences du Programme américain de certification de confiance en matière de cybersécurité – Cyber Trust Mark Program (par exemple : résultats des tests, rapports de laboratoire).²
• Réutiliser les modèles de menaces, les nomenclatures de sécurité et les outils de gestion des risques dans le cadre du Programme américain de certification de confiance en matière de cybersécurité, et d’autres programmes afin de réduire les doublons.

2 – Centre canadien pour la cybersécurité. Centre de la sécurité des télécommunications. Conseils sur la cybersécurité publié comme un document non confidentiel dans la Série « Sensibilisation ». Sécurité de l’Internet des Objets (IDO) – ITSAP.00.012. Ottawa, Canada. Date de publication : juillet 2022. Document PDF: Sécurité de l’Internet des objets (IDO) (ITSAP.00.012) HTML: Sécurité de l’Internet des objets (IDO) – ITSAP.00.012 – Centre canadien pour la cybersécurité

SECTION III

Programme du NIST sur la cybersécurité pour l’Internet des Objets (SP 800-213) : une synthèse conceptuelle

Objectif et portée

La série de publications spéciales NIST SP 800-213 fournit des recommandations au gouvernement fédéral américain concernant l’établissement d’exigences de cybersécurité pour les appareils IDO, aidant ainsi les agences à définir, acquérir et gérer en toute sécurité ces objets connectés au sein de leurs systèmes. En d’autres termes, la série NIST SP 800-213 met à la disposition des agences fédérales américaines une assistance et des conseils en cybersécurité pour le déploiement des appareils IDO, en les alignant avec le Cadre de gestion des risques (CGR). [3]

Composantes de la série du NIST

• NIST SP 800 213 — un document de référence principal pour l’établissement des exigences de cybersécurité des appareils IDO et leur intégration dans les processus d’acquisition et de gestion des risques.
• SP 800 213A (catalogue) — un catalogue complémentaire recensant les capacités spécifiques et testables des appareils IDO, ainsi que des exemples de mise en œuvre, à l’intention des organismes et des acheteurs pour définir les exigences et vérifier la conformité.
• Les documents et mises à jour relatifs au programme IdO du NIST regroupent des documents de soutien, des modèles et des conseils d’harmonisation destinés aux fabricants, aux intégrateurs et aux organismes acheteurs.

Public cible et principaux utilisateurs de la série NIST

Les principaux utilisateurs sont les agences fédérales américaines chargées de la mise en œuvre des obligations de la Loi sur la cybersécurité de l’Internet des Objets (IoT Cybersecurity Act), mais ces recommandations sont largement réutilisées par les entreprises, les fournisseurs et les organisations non américaines comme norme de facto pour les exigences d’approvisionnement et les fonctionnalités des appareils IDO.

Concepts clés et leur intégration aux autres recommandations du NIST

La publication SP 800-213 étend le Cadre de gestion des risques (CGR) aux appareils IDO et elle recommande de faire correspondre les fonctionnalités des appareils aux exigences des organismes en matière de cyberrisques. Elle complète les autres publications du NIST (par exemple : les publications CGR, la publication SP 800-82 relative aux systèmes de contrôle industriel (SCI) et les recommandations sur la chaîne d’approvisionnement), et elle propose une méthode structurée pour définir des exigences traçables et vérifiables pour les produits IDO.

Résultats et attentes pratiques

Les agences et les fabricants d’appareils IDO utilisent la série du NIST pour produire les éléments suivants : matrices de traçabilité des exigences, dossiers techniques et dossiers de preuves concernant les fonctionnalités des appareils, procédures de gestion des vulnérabilités, gouvernance des mises à jour/correctifs, et plans de test alignés avec le catalogue des fonctionnalités SP 800-213A.

Comment les fabricants canadiens d’appareils IDO peuvent-ils satisfaire aux obligations administratives du Programme SP 800-213 du NIST sur la cybersécurité pour l’Internet des Objets?

Le Programme SP 800-213 du NIST (et son catalogue complémentaire SP 800-213A) fournit des directives aux agences fédérales américaines concernant l’établissement des exigences en matière de cybersécurité des appareils IDO. Il précise également les fonctionnalités des appareils et les activités administratives non techniques que les fabricants et les organismes acheteurs d’appareils IDO doivent mettre en œuvre ou prendre en charge.

Bien que rédigé à l’intention du gouvernement fédéral américain, ce Programme est grandement ré-utilisé comme exigences d’approvisionnement et comme fondement de travail par des clients et partenaires non américains, y compris des fabricants canadiens d’appareils IDO. Par conséquent, les fabricants canadiens d’appareils IDO doivent considérer le programme SP 800-213 du NIST comme un ensemble d’obligations administratives de facto pour répondre aux besoins des clients fédéraux et des entreprises américaines.

Que signifie « obligations administratives » dans ce contexte?

Les obligations administratives désignent les contrôles non reliés au code, les contrôles organisationnels, procéduraux et documentaires qui attestent qu’un appareil IDO répond aux exigences de cybersécurité.

Elles se distinguent des contrôles relatifs au micrologiciel ou au matériel (par exemple : le démarrage sécurisé) et elles comprennent des éléments tels que la spécification des exigences, la gestion des preuves, les garanties des fournisseurs, les programmes de gestion des vulnérabilités, la gouvernance des mises à jour, l’étiquetage ou les déclarations de conformité, ainsi que les preuves nécessaires à l’acquisition et à la gestion du cycle de vie.

Liste de vérification pratique que les fabricants canadiens d’appareils IDO peuvent mettre en œuvre

1. Gouvernance et rôles

• Désigner un responsable de la sécurité des produits (RSP) par famille de produits IDO et un commanditaire exécutif pour les programmes de conformité.
• Établir une charte de gouvernance écrite définissant les responsabilités en matière de conception, d’approvisionnement, de gestion des vulnérabilités, de mises à jour et de surveillance post-commercialisation.

2. Spécification des exigences et traçabilité

• Rédiger des exigences de cybersécurité pour les appareils, conformes au catalogue des fonctionnalités du Programme NIST « Cybersécurité pour l’Internet des Objets » SP 800-213 (ou SP 800-213A), et lier chaque exigence aux éléments de conception et aux tests de vérification.
• Tenir à jour une matrice de traçabilité des exigences (MTE) indiquant l’état d’avancement : conception → vérification → archivage des preuves.

3. Gestion des dossiers techniques et des preuves

• Conserver un dossier technique par unité de référence (SKU) comprenant les schémas d’architecture, le modèle des menaces, l’évaluation des risques, les rapports de tests, la nomenclature/liste des composantes, la conception mise à jour et les preuves de conformité pour les fonctionnalités déclarées.
• Mettre en place un référentiel de preuves avec gestion des versions, contrôles d’accès et conservation des journaux tout au long du cycle de vie du produit IDO.

4. Contrôles des fournisseurs et de la chaîne d’approvisionnement

• Exiger des questionnaires de sécurité des fournisseurs, des attestations de provenance des composantes, et des clauses contractuelles relatives à la coopération en matière des vulnérabilités et à la correction rapide des problèmes.
• Suivre les micrologiciels/OSS tiers à l’aide d’une nomenclature logicielle (SBOM) et des critères d’acceptation documentés pour le code réutilisé.

5. Programme de gestion et de divulgation des vulnérabilités

• Publier et appliquer une politique coordonnée de divulgation des vulnérabilités; définir le triage, les SLA, la classification de la gravité et les conventions de publication.
• Tenir à jour un manuel de gestion des incidents internes et un plan de communication externe pour les intervenants et les acheteurs.

6. Gouvernance des mises à jour et des correctifs

• Documenter l’architecture de déploiement des mises à jour, les contrôles d’authentification et d’intégrité, les plans de restauration et les périodes de soutien minimales pour chaque produit; enregistrer les SLA de mise à jour et les approbations de contrôle des changements.
• Conserver les données de télémétrie des mises à jour (preuve de déploiement) et les enregistrements pour les auditeurs et les organismes d’achat.

7. Documents d’acquisition et de soutien à la clientèle

• Élaborer une fiche concise des « déclarations de sécurité relatives à l’acquisition » à l’intention des acheteurs, résumant les fonctionnalités mises en œuvre, le cycle de vie du soutien technique, les limites connues et les points de contact (personnes ressources) pour le signalement des incidents de sécurité.
• Fournir un guide de déploiement (renforcement de la configuration, segmentation) et une liste de contrôle des opérations pour les clients utilisant vos appareils IDO dans des circonstances sensibles.

8. Préparation aux tests, aux contrôles et aux audits

• Conserver les plans de test et les enregistrements relatifs aux tests de sécurité fonctionnels, aux résumés des tests d’intrusion et aux résultats des laboratoires tiers, le cas échéant; associer les tests aux fonctionnalités de la norme NIST SP 800-213.
• Planifier des examens de conformité internes et des contrôles de préparation afin de répondre aux audits d’approvisionnement.

Notes de mise en œuvre et échéanciers

• Prioriser les références à forte valeur ajoutée (SKU) : élaborer d’abord le dossier technique et le document de commercialisation (DTDC) pour les appareils IDO destinés aux acheteurs fédéraux ou aux entreprises américaines, puis étendre la démarche à l’ensemble de la chaîne de produits.
• Utiliser la réutilisation : les éléments de référence, tels que les modèles de menaces, les nomenclatures de sécurité (SBOM), les politiques de vulnérabilité et le référentiel de preuves peuvent être normalisés et réutilisés pour différentes références afin de réduire les coûts marginaux.
• Considérer les obligations administratives comme un processus continuel : maintenir les processus de gouvernance, de divulgation, de mise à jour et de gestion des preuves actifs tout au long du cycle de vie du produit IDO, au lieu de les limiter à des livrables ponctuels.

Conclusion

Au sujet des tendances et perspectives d’avenir, la fabrication ou la conception des appareils IDO plus sécuritaires résultera de l’interaction entre trois forces de développement : un traitement d’appareil incorporé plus intelligent (IA en périphérie), une connectivité et une segmentation du réseau plus robustes (5G privée, maillage résilient) et des contrôles réglementaires et de la chaîne d’approvisionnement renforcés (certification, nomenclatures normalisées, sécurité minimale obligatoire). Ensemble, ces éléments rehaussent le niveau technique de base et le référentiel de responsabilité des fabricants, des vendeurs et des opérateurs d’appareils IDO.

Tendances techniques majeures

• Intelligence artificielle en périphérie (Intelligence Artificielle des Objets = IADO) : le transfert de l’inférence et de la détection d’anomalies vers les appareils réduit l’exposition infonuagique et la latence, permettant la détection des menaces en temps réel et des analyses respectueuses de la vie privée.
• Sécurité matérielle : adoption accrue d’éléments sécurisés, de modules de type TPM, de chaînes de démarrage immuables et d’un démarrage mesuré pour établir l’identité de l’appareil IDO et empêcher toute altération du micrologiciel.
• Contrôles de connectivité renforcés : 5G privée, découpage du réseau et amélioration du modèle de confiance zéro pour l’isolation des appareils et une qualité de service prévisible, réduisant ainsi les vecteurs d’attaques latérales.
• Mises à jour sécurisées du cycle de vie : mises à jour OTA atomiques et authentifiées avec protection contre la restauration et déploiement progressif (canaris) pour éviter le blocage des appareils et corriger rapidement les vulnérabilités.
• Évolution de la cryptographie : planification de la migration vers des algorithmes résistants à l’informatique post-quantique dans les feuilles de route des produits, et protocoles de chiffrement hybrides pour les appareils à longue durée de vie.
• Transparence de la chaîne d’approvisionnement : utilisation de nomenclatures de sécurité (SBOM), de métadonnées de provenance et d’inventaires de composantes testables pour gérer les risques reliés aux tiers.

Normes, certification et réglementation

• La pression réglementaire augmente : les gouvernements et les régions imposent des exigences minimales de sécurité obligatoires pour l’IDO grand public et industriel, incitant les fournisseurs à démontrer leur conformité et la robustesse de leurs configurations par défaut.
• Les systèmes de certification et de conformité (étiquettes de sécurité des produits, tests d’intrusion effectués par des tiers, certifications de laboratoire) constituent déjà des facteurs de différenciation concurrentielle et des conditions d’accès au marché. Ils deviendront obligatoires dans l’avenir.
• Les cadres d’interopérabilité et de protection de la vie privée (minimisation des données, limitation des finalités) seront intégrés aux règles d’approvisionnement et aux réglementations sectorielles, notamment dans les secteurs de la santé, de l’automobile et des infrastructures essentielles.

Les forces de développement susmentionnés inciteront les fournisseurs de solutions IDO à intégrer la sécurité dès la conception, et non à l’envisager comme une simple considération a posteriori.

Bonnes pratiques d’ingénierie et d’exploitation

• Conception/fabrication axée sur le modèle des menaces : définir dès le début les profils des cyberattaquants, les ressources et les modes de défaillance; associer les contrôles aux risques et les tester en continu.
• Nomenclatures sécurisées par défaut : sélectionner les composantes dotées de fonctionnalités de sécurité documentées et de garanties de mise à jour/correctif; exiger des engagements de sécurité des fournisseurs dans les contrats.
• Validation continuelle : tests à données aléatoires automatisés, vérifications des nomenclatures de micrologiciels, analyse de la chaîne d’approvisionnement, surveillance de l’intégrité en temps réel et exercices d’équipe rouge/bleue sur l’ensemble de l’éventail d’appareils IDO.
• DevSecOps pour le micrologiciel : pipelines CI/CD incluant la signature, la reproductibilité des cycles d’impression, le contrôle des vulnérabilités et les flux de travail OTA par étapes.
• Identité et accès des appareils : clés par appareil, certificats à durée de vie limitée et attestation basée sur des politiques, le tout relié à une plateforme de gestion des accès.
• Protection de la vie privée dès la conception : minimiser la collecte de données brutes dans l’appareil IDO et adopter l’agrégation en périphérie ou la confidentialité différentielle lorsque cela est approprié.

Les pratiques ci-dessus réduisent l’exposition technique et opérationnelle tout au long du cycle de vie du produit IDO.

Implications pour l’entreprise et l’écosystème

• La sécurité comme facteur de différenciation produit : les acheteurs privilégieront les fournisseurs qui publient des nomenclatures de sécurité (SBOM), proposent des SLA de mise à jour rapide et détiennent des certifications.
• Assurance et responsabilité : le prix des cyberassurances reflétera la maturité démontrée en matière de cybersécurité; la responsabilité juridique reliée aux appareils IDO non sécurisés rendra incontournables les programmes de sécurité rigoureux.
• Croissance des services de sécurité gérés : de nombreuses organisations externaliseront la gestion des correctifs, la surveillance de l’éventail des appareils IDO et la réponse aux incidents pour leurs environnements hétérogènes.
• Examen approfondi de la chaîne d’approvisionnement matérielle et logicielle : les équipes d’approvisionnement intégreront des clauses contractuelles relatives au niveau de sécurité, aux délais de notification et aux obligations de mise à jour sécurisée.

L’adoption des pratiques de sécurité éprouvées permettra de réduire les cyberrisques commerciaux et d’accéder à des marchés plus vastes et sensibles à la cybersécurité.

Feuille de route pratique de 12 à 18 mois pour les équipes responsables des appareils IDO

1. Immédiat (0 à 3 mois) : adopter le démarrage sécurisé, l’identification des appareils IDO et les mises à jour OTA authentifiées; publier une nomenclature initiale et une politique de mise à jour.
2. À court terme (3 à 9 mois) : introduire la détection d’anomalies en périphérie pour les produits essentiels; renforcer la segmentation du réseau (VPN/Zéro confiance); mettre en œuvre la signature des éléments de configuration et la reproductibilité des cycles d’impressions.
3. À moyen terme (9 à 18 mois) : faire appel à un organisme de certification tiers ou effectuer des tests d’intrusion; planifier la migration vers le chiffrement post-quantique pour les appareils à longue durée de vie; intégrer les attestations de la chaîne d’approvisionnement et les SLA de sécurité des fournisseurs.

Privilégiez les contrôles qui réduisent les risques de compromission à distance, permettent une remédiation rapide et démontrent vos bonnes pratiques de cybersécurité auprès de vos clients et des autorités réglementaires nationales et internationales.

Perspectives ultimes pour les tendances à avenir

La prochaine génération d’appareils IDO plus sécuritaires sera façonnée par des défenses locales alimentées par l’IA, des infrastructures matérielles plus fiables, des architectures de réseau informatique limitant l’impact des cyberattaques, et des réglementations faisant de la cybersécurité un impératif de marché. Les organisations qui intègrent les meilleures pratiques de cybersécurité à leurs processus d’ingénierie – de la conception des produits à la mise en œuvre de leur chaîne d’approvisionnement et de leurs opérations – bénéficieront d’un avantage concurrentiel et réduiront considérablement les risques et les cyberattaques.

Notes post-scriptum avec ressources

1 – UNION EUROPÉENNE. Parlement européen et Conseil de l’Union européenne. Journal officiel de l’Union européenne. EUR-Lex : Accès aux lois de l’Union européenne. Document 32024R2847. Règlement (UE) 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024 relatif aux exigences horizontales de cybersécurité applicables aux produits comportant des éléments numériques et modifiant les règlements (UE) n° 168/2013 et (UE) 2019/1020 et la directive (UE) 2020/1828 (Règlement sur la cyberrésilience) (texte présentant un intérêt pour la ZÉE). Législation officielle de l’Union européenne, adoptée sous la forme du Règlement (UE) 2024/2847 sur la cyberrésilience, promulgué le 23 octobre 2024 et entré en vigueur le 11 décembre 2024. Journal officiel de l’Union européenne, publié en 81 pages + addendum par les Presses du Parlement européen, Wiertzsraat 1050, Ixelles, Bruxelles, Belgique. Document législatif officiel du Parlement européen et du Conseil de l’Union européenne, publié en format HTML : Règlement de l’Union européenne sur la cyberrésilience – 2024/2847 – FR – Parlement européen et Conseil de l’Union européenne – EUR-Lex

2 – NIST – INSTITUT NATIONAL DES NORMES ET DE LA TECHNOLOGIE. Laboratoire des technologies de l’information – Division de la cybersécurité appliquée. Programme NIST sur la cybersécurité pour l’Internet des Objets (Séries SP 800-213). Le NIST est une agence gouvernementale américaine qui joue un rôle crucial dans l’établissement des normes et des lignes directrices pour divers secteurs. Fondé en 1901 et rattaché au ministère du Commerce, le NIST a pour mission de promouvoir l’innovation, d’améliorer les sciences de la mesure et de développer les technologies afin de soutenir l’industrie et la compétitivité américaines. Le document de 47 pages intitulé « NIST Cybersecurity for IoT Program SP 800-213 Series » a été rédigé en anglais américain par un collectif d’auteurs (Michael Fagan, Jeffrey Marron, Kevin G. Brady, Jr., Barbara B. Cuthill, Katerina N. Megas, Rebecca Herold, David Lemire et Brad Hoehn) et publié en novembre 2021 par NIST Publishing Press, 100 Bureau Drive, Mail Stop 1070, Gaithersburg, Maryland 20899-1070, États-Unis. Document PDF du NIST (47 pages – en version anglaise uniquement) : IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements Document HTML du NIST : NIST Cybersecurity for IoT Program SP 800-213 Series | NIST

3 – COMMISSION FÉDÉRALE DES COMMUNICATIONS DES ÉTATS-UNIS (FCC). Agence gouvernementale américaine de réglementation et de normalisation, la FCC réglemente les communications interétatiques et internationales par radio, télévision, câble, satellite et fil dans les 50 États, le District de Columbia et les territoires américains. Agence indépendante sous la tutelle de la Chambre des représentants, la FCC est l’agence fédérale chargée de la mise en œuvre et de l’application de la législation et de la réglementation américaines en matière de communications. Le Programme américain de certification de confiance en matière de cybersécurité est géré sous l’égide du ministère de la Sécurité publique et de la Sécurité intérieure. Les publications, comptes rendus et actions, licences et bases de données, rapports et recherches, nouvelles et événements, et documentation technique sont publiés sur le site Web officiel du gouvernement des États-Unis sous le titre générique « Programme américain de certification de confiance en matière de cybersécurité et FAQ connexe ». Sujets abordés : (1) Comment fonctionne le Programme américain de certification de confiance en matière de cybersécurité? (2) Quels produits sont inclus dans le Programme? (3) Quels produits ne sont pas inclus dans le Programme? (4) Quel est le rôle des administrateurs tiers? (5) Les entités situées à l’extérieur des États-Unis peuvent-elles participer au Programme américain de certification de confiance en matière de cybersécurité? (6) Quelles sont les prochaines étapes de lancement du Programme? (7) Comment un fabricant peut-il demander l’utilisation de la certification de confiance cybernétique américaine? (8) Quand un fabricant peut-il demander l’utilisation de la certification de confiance cybernétique américaine? (9) Que se passera-t-il lorsque les consommateurs numériseront le code QR associé à la certification de confiance cybernétique américaine? Documents techniques pertinents, résultats de recherche et développement, analyses administratives et rapports de terrain autorisés et publiés officiellement par le siège de la FCC, 445 Twelfth Street SW, Washington, DC 20554, États-Unis. Document administratif de la Commission fédérale des communications (FCC) publié en format HTML – version anglaise uniquement : U.S. Cyber Trust Mark Program | Federal Communications Commission (FCC)

Contributions

Nous remercions en particulier le Conseil national de recherches du Canada (CNRC) pour son soutien financier par le biais de son Programme d’aide à la recherche industrielle (PARI), lequel programme est bénéfique pour les PME innovatrices à travers les 10 provinces et 3 territoires du Canada.

Éditeur-en-chef de l’infolettre :

Alan Bernardi, SSCP, PMP, auditeur principal pour ISO 27001, ISO 27701 et ISO 42001
B.Sc. Informatique et Mathématiques, Université McGill, Canada
Diplôme d’études supérieures en gestion, Université McGill, Canada

Auteur-Amazon USA, informaticien, rédacteur & traducteur professionnel certifié :

Ravi Jay Gunnoo, C.P.W. ISO 24495-1:2023 & C.P.T. ISO 17100:2015
B.Sc. Informatique et Cybersécurité, Université McGill, Canada
B.Sc. & M.A. Traduction Professionnelle, Université de Montréal, Canada

Ce contenu est publié sous licence Creative Commons Attribution (CC BY-NC).