Définition et objectif

L'ETSI EN 303 645 établit des dispositions générales pour les aspects de sécurité des appareils de consommation et de leurs services associés, en mettant l'accent sur les appareils IoT. Le but est de fournir une protection contre les menaces cybernétiques courantes pour les consommateurs et d'assurer la confidentialité de leurs données personnelles.

Organe directeur

L'organe directeur de cette norme est l'Institut Européen des Normes de Télécommunications (ETSI).

Dernière mise à jour

La version 2.1.1 de l'ESTI EN 303 645 a été publiée en 2020.

S'applique à

L'ETSI EN 303 645 s'applique principalement aux appareils IoT destinés aux consommateurs. Cela inclut des appareils tels que les jouets connectés pour enfants, les caméras intelligentes, les appareils portables, les trackers de santé, les systèmes de domotique et d'alarme connectés, ainsi que d'autres produits IoT connexes destinés à la consommation.

Contrôles et exigences

Certaines dispositions clés de la conformité à l'ESTI EN 303 645 incluent :

• Pas de mots de passe universels par défaut : Les appareils IoT ne doivent pas avoir de mots de passe universels par défaut.
• Mettre en place un moyen de gérer les rapports de vulnérabilités : Les fournisseurs doivent avoir un mécanisme clair permettant de signaler les vulnérabilités de sécurité.
• Maintenir les logiciels à jour : Les fabricants doivent s'assurer que les logiciels peuvent être mis à jour en toute sécurité.
• Stocker les identifiants et les données sensibles de manière sécurisée : Les données stockées sur les appareils doivent être sécurisées de manière appropriée.
• Communiquer de manière sécurisée : Les appareils et services IoT doivent utiliser un chiffrement approprié lorsque nécessaire.
• Minimiser les surfaces d'attaque exposées : Les ports et services non nécessaires doivent être désactivés, et le matériel ne doit pas exposer inutilement l'accès.
• Assurer l'intégrité des logiciels : Les logiciels des appareils IoT doivent être vérifiés à l'aide de mécanismes de démarrage sécurisé.
• Assurer la protection des données personnelles : Les données personnelles traitées par les appareils et services IoT doivent être gérées conformément aux réglementations applicables en matière de protection des données.
• Rendre les systèmes résilients aux pannes : Les appareils et services doivent rester opérationnels et informer les utilisateurs de toute perte de fonctionnalité (par exemple, la perte de réseau ou d'alimentation).
• Examinez les données de télémétrie du système : Assurez-vous que toute télémétrie (par exemple, les données d'utilisation ou d'erreur) est examinée pour détecter les anomalies de sécurité.
• Facilitez la suppression des données personnelles par les consommateurs : Les utilisateurs doivent disposer d'une méthode claire pour supprimer leurs données personnelles d'un appareil/service.
• Facilitez l'installation et la maintenance des appareils : Les appareils doivent être faciles à installer et disposer de directives de maintenance claires.
• Validez les données d'entrée : Les données transmises via des API ou entre réseaux doivent être validées.

Veuillez vous référer à la documentation officielle ESTI EN 303 645 V2.1.1 pour une liste détaillée des contrôles et des exigences.

Type d'audit, fréquence et durée

En général, l'ESTI EN 303 645 nécessiterait une évaluation par un tiers ou un examen interne, examinant les appareils IoT et leurs services associés pour assurer la conformité avec la norme. La fréquence des audits dépend des politiques du fabricant et de toute exigence réglementaire qui pourrait s'appliquer à eux. Cependant, des audits réguliers, en particulier après des mises à jour ou des changements de produit importants, sont recommandés.

La durée d'un audit dépend de la complexité de l'appareil ou du service IoT, de la profondeur de l'audit et du nombre d'appareils/services évalués.