Normes de sécurité pour les appareils connectés à Internet, qui constituent l'une des principales menaces en matière de cybersécurité
17.4295 · Postulat · 2017-12-15
Département des finances
Liquidé
Wortlaut
Le Conseil fédéral est chargé de montrer dans un rapport succinct comment améliorer la sécurité des appareils dans le domaine en croissance exponentielle que représente l'Internet des objets (IdO) et rendre plus difficile leur détournement à des fins criminelles.
L'analyse et la présentation porteront notamment sur les points suivants :
1. bref survol des principales attaques Internet par le biais d'appareils IdO ;
2. état des lieux concernant les directives de sécurité applicables aux appareils IdO (analogues aux dispositions réglant l'admission des appareils électriques) et leur application en Suisse ;
3. introduction de directives internes, valables pour la Confédération et les entreprises qui lui sont proches, assorties de conditions de sécurité quant à l'achat et à la mise en oeuvre d'appareils IdO ;
4. introduction de directives de sécurité valables pour les exploitants d'infrastructures critiques : conditions de sécurité à remplir quant à l'achat et à la mise en oeuvre d'appareils IdO ;
5. possibilité d'augmenter les chances de voir les lacunes de sécurité IdO reconnues signalées à un service centralisé (Melani, par ex.), au moyen d'obligations d'annoncer ou d'incitations à le faire ;
6. possibilité d'exiger des fabricants qu'ils fournissent des mises à jour de sécurité permettant de pallier les lacunes reconnues, au moins pendant la durée de garantie.
Le rapport demandé sera clair et concis et présentera, le cas échéant, des propositions concrètes de mise en oeuvre à l'échelon législatif ou réglementaire. À cet égard, l'aide à la création de normes internationales ou la reprise de telles normes prendra autant que possible le pas sur une solution particulariste suisse.
Begründung
Des experts signalent que la cybercriminalité, par exemple les attaques par déni de service (Distributed Denial-of-Service, DDoS), passe de plus en plus souvent par le piratage d'appareils connectés à Internet, qu'il s'agisse de routeurs ou de frigos, de caméras de vidéosurveillance ou de haut-parleurs (cf. http ://nyti.ms/2zdJ41G, http ://glätt.li/iotplanb), plutôt que par le piratage d'ordinateurs ou de serveurs traditionnels. Les prescriptions de sécurité concernant ces appareils sont insuffisantes. En vue de leur importation, les appareils en question doivent certes satisfaire aux normes électroniques et radioélectriques usuelles, mais pas aux principes les plus élémentaires concernant la sécurité de l'information, tels que l'abstention des mots de passe triviaux standardisés (admin/admin) ou la possibilité d'installer facilement des mises à jour. Le niveau de sécurité général de ces appareils en matière de piratage et de détournement est ainsi malheureusement très faible, alors qu'ils inondent actuellement le marché, même dans le secteur de la grande consommation (cf. http ://glätt.li/iotstat).
Antrag des Bundesrates
Le Conseil fédéral propose d'accepter le postulat.
Stellungnahme des Bundesrates
Le Conseil fédéral juge judicieux d'examiner les questions posées concernant la sécurité des appareils IdO et d'établir un rapport à ce sujet. Il observe toutefois que ces questions portent sur des domaines complexes. A défaut de leur apporter des réponses définitives, le rapport succinct demandé se limitera à fournir des réflexions de base, notamment en ce qui concerne d'éventuelles réglementations. S'ils sont souhaités par les milieux politiques, les éventuels projets législatifs devront être entamés ultérieurement.
Le Conseil fédéral propose d'accepter le postulat.