IQS, un label pour certifier la sécurité des objets connectés

Cet article a été publié il a plus d'un an, il n'est peut-être plus d'actualité.

Le français Digital.security lance son label IQS dédié à la cybersécurité dans l'IoT, on décrypte ça tout de suite.

C'est désormais un fait de notoriété publique, les objets connectés ont souvent de sérieuses lacunes en termes de cybersécurité. Il était temps d'agir, et c'est exactement ce qu'à fait Digital.security, la filiale du groupe belge Econom.

Depuis son siège à la Défense, Digital.security a lancé un label qui vise à certifier les objets conenctés en termes de cybersécurité. Concrètement, il s'agit d'un logo qui pourra être collé au produit certifié afin que les clients repèrent rapidement les objets sécurisés au moment de faire leur achat.

Pour obtenir le label IQS (IoT Qualified as Secured), il faudra faire tester son produit par Digital.security suivant un protocole précis. Deux niveaux sont proposés, un niveau standard avec 25 points de contrôle, ainsi qu'un niveau avancé avec 30 points de contrôle. Le label sera ensuite valable pendant 2 ans.

Parmi les domaines dans le viseur de Digital.security, la PED (protection des échanges de données), la PST (protection des socles techniques), PAD (protection de l'accès aux données) ainsi que la traçabilité. Par ailleurs, toutes les composantes de l'offre évaluée doivent respecter les exigences, c'est-à-dire le produit lui-même, mais également le firmware, les protocoles de communication, les applications fournies, etc.

Côté professionnel, le coût du label sera de l'ordre de 10 000 à 30 000 €, un certain nombre de marques seraient déjà intéressées d'après Digital.security.

L'initiative est plus que louable, d'autant plus que la Commission Européenne le demandait depuis 2016. Le protocole semble à première vue assez complet, et il est légitime de penser que le premier CERT* de France connaît plutôt bien son domaine.  Il nous reste à espérer que les fabricants seront aussi enthousiastes.

*CERT : Computer Emergency Response Team, centre d'alerte et de réaction aux attaques informatiques pour les entreprises et les administrations.