Cyber-facture grand public pour protéger les mobiles, les appareils intelligents

Le gouvernement a présenté aujourd’hui son projet de loi sur la sécurité des produits et l’infrastructure des télécommunications (PSTI) au Parlement, imposant de nouvelles normes de cybersécurité pour les téléphones intelligents et autres appareils connectés, soutenus par la menace d’amendes importantes pour les fabricants de technologies qui bafouent la loi.

La législation sera censée mieux protéger les consommateurs contre les cyberattaques contre leurs téléphones, tablettes, téléviseurs intelligents, trackers de fitness et autres appareils connectés en interdisant la vente au Royaume-Uni d’appareils qui ne répondent pas aux normes de base.

Cela permettra également au gouvernement d’interdire aux fabricants de définir des mots de passe universels par défaut sur les appareils, de les forcer à être plus clairs avec leurs clients sur la divulgation et la correction des failles de sécurité dans leurs produits, et de créer un meilleur système de signalement public des vulnérabilités.

« Chaque jour, des pirates informatiques tentent de s’iffroir dans les appareils intelligents des gens », a déclaré Julia Lopez, ministre des Médias, des Données et de l’Infrastructure numérique. « La plupart d’entre nous supposent que si un produit est à vendre, il est sûr et sécurisé. Pourtant, beaucoup ne le sont pas, ce qui expose trop d’entre nous à un risque de fraude et de vol.

« Notre projet de loi mettra en place un pare-feu autour de la technologie quotidienne, des téléphones et des thermostats aux lave-vaisselle, en passant par les moniteurs pour bébés et les sonnettes, et verra d’énormes amendes pour ceux qui enfreignent les nouvelles normes de sécurité strictes. »

Le champ d’application de la loi s’applique à tous les produits connectables, c’est-à-dire ceux qui peuvent accéder à Internet, mais ne couvrira pas les produits qui sont, par exemple, soumis à une double réglementation, y compris les véhicules, les compteurs intelligents, les points de recharge pour véhicules électriques ou les dispositifs médicaux. Les ordinateurs portables et autres PC ne sont pas non plus dans le champ d’application car ils sont déjà desservis par un cyber-écosystème mature.

Les entreprises technologiques qui ne se conforment pas pourraient atteindre jusqu’à 10 millions de livres sterling, soit 4% du chiffre d’affaires mondial total, ainsi que jusqu’à 20 000 livres sterling par jour en cas de violations en cours, a déclaré le gouvernement. Westminster prévoit désigner un organisme de réglementation pour superviser ce régime une fois que le projet de loi entre en vigueur.

Cet organisme de réglementation sera également habilité à émettre des avis aux entreprises, y compris des rappels de produits ou des interdictions complètes de leur vente, si nécessaire. À cet égard, la loi s’appliquera non seulement aux fabricants, mais aussi aux détaillants, à la fois en ligne et hors ligne.

Le projet de loi a été gestation pendant des années, ses origines remontant à un ensemble de propositions établies pour la première fois dans le cadre de la Stratégie nationale de cybersécurité en 2018, et est basé sur le Code de pratique de sécurité de l’IdO qui en a résulté. L’élan s’est renforcé depuis, grâce à la croissance explosive des ventes d’appareils connectés – qui a grimpé en flèche pendant la pandémie de Covid-19.

Ian Levy, directeur technique du Centre national de cybersécurité (NCSC), qui a soutenu les propositions depuis leur création, s’est dit ravi que le projet de loi soit soumis aux députés.

« Les exigences que ce projet de loi introduit – qui ont été élaborées conjointement par le DCMS et le NCSC avec la consultation de l’industrie – marquent le début du voyage pour s’assurer que les appareils connectés sur le marché répondent à une norme de sécurité reconnue comme une bonne pratique. »

Rocio Concha, Quel? directeur des politiques et du plaidoyer, a ajouté : «Quel? a travaillé avec les gouvernements successifs sur la façon de sévir contre un flot de produits mal conçus et non sécurisés qui laissent les consommateurs vulnérables aux cybercriminels, de sorte qu’il est positif que ce projet de loi soit présenté au Parlement.

« Le gouvernement doit veiller à ce que ces nouvelles lois s’appliquent aux marchés en ligne, où Quel? a souvent constaté que des produits à risque de sécurité étaient vendus à grande échelle, afin d’empêcher les gens d’acheter des appareils intelligents qui les exposent à des escroqueries et à des violations de données.