Définition et objectif

L'objectif de l'ETSI TS 103 645 est d'établir une base de sécurité garantissant la protection de la vie privée et de la sécurité des consommateurs en veillant à ce que les dispositifs IoT soient conçus dès le départ avec certaines dispositions de sécurité critiques. La norme définit des dispositions pour protéger les dispositifs IoT contre les menaces et vulnérabilités courantes, favorisant ainsi la confiance des consommateurs dans la technologie IoT.

Organisme de réglementation

L'ETSI TS 103 645 a été développée et est maintenue par l'Institut européen des normes de télécommunications (ETSI), une organisation de normalisation européenne reconnue.

Dernière mise à jour

L'ETSI TS 103 645 a été publiée en février 2019. ESTI TS 103 645 V2.1.2 a été publiée en juin 2020. 

Sur quoi elle s'applique

L'ETSI TS 103 645 s'applique aux dispositifs IoT grand public, largement utilisés par les particuliers dans des environnements domestiques. Cela peut aller des appareils électroménagers intelligents et des systèmes de sécurité aux wearables et aux jouets connectés.

Contrôles et exigences

La norme comprend un certain nombre de dispositions de haut niveau axées sur les résultats, telles que :

• Pas de mots de passe par défaut : tous les mots de passe des dispositifs IoT doivent être uniques et ne pas réinitialisables à une valeur par défaut universelle d'usine.
• Mettre en œuvre un moyen de gérer les rapports de vulnérabilités : un point de contact public dans le cadre d'une politique de divulgation des vulnérabilités.
• Maintenir le logiciel à jour : des mises à jour logicielles sécurisées et rapides.
• Stocker en toute sécurité les paramètres de sécurité sensibles : stockage sécurisé des informations d'identification et des données sensibles pour la sécurité.
• Communiquer de manière sécurisée : chiffrement des données sensibles sur les réseaux.
• Minimiser les surfaces d'attaque exposées: toutes les fonctions de l'appareil et les capacités d'accès à distance doivent être revues et minimisées.
• Assurer l'intégrité des logiciels : les logiciels des dispositifs IoT doivent être vérifiés à l'aide de mécanismes de démarrage sécurisé.
• Protéger les données personnelles : toutes les données personnelles collectées ou traitées doivent être protégées.
• Assurer la résilience du système aux pannes : les dispositifs doivent être résilients et se rétablir en cas de panne.
• Examiner les données de télémétrie du système : si des diagnostics sont collectés, ces données doivent être analysées pour détecter les anomalies de sécurité.

Veuillez vous référer à la documentation officielle ESTI TS 103 645 V2.1.2 pour des détails sur les contrôles et les exigences.

Type d'audit, fréquence et durée

La conformité à la norme ETSI TS 103 645 peut impliquer des processus d'auto-évaluation ou de certification par des tiers, où les appareils IoT sont évalués par rapport aux exigences de la norme. Étant donné la nature en constante évolution de l'IoT et des menaces de sécurité associées, il est prudent de procéder à des examens réguliers ; cependant, la norme ne spécifie pas de fréquence.

La durée des vérifications de conformité ou des processus de certification dépendra de la complexité de l'appareil, du nombre d'appareils évalués et de la profondeur des exigences de sécurité appliquées.