Nouvelles lois sur la cybersécurité pour protéger la technologie personnelle des personnes contre les pirates

  • Projet de loi visant à mieux protéger les smartphones, téléviseurs, haut-parleurs, jouets et autres appareils numériques des pirates
  • Cela empêchera la vente de produits de consommation enfichables au Royaume-Uni qui ne répondent pas aux exigences de sécurité de base
  • La recherche montre que quatre fabricants de produits enfichables sur cinq ne mettent pas en œuvre les mesures de sécurité appropriées
  • Inclut des plans d’amendes allant jusqu’à 10 millions de livres sterling ou jusqu’à 4 % du chiffre d’affaires mondial pour les entreprises qui ne se conforment pas

Une nouvelle loi obligera les fabricants, importateurs et distributeurs de technologie numérique qui se connectent à Internet ou à d’autres produits à s’assurer qu’ils respectent les nouvelles normes strictes de cybersécurité – avec de lourdes amendes pour ceux qui ne s’y conforment pas.

La loi sur la sécurité des infrastructures et des produits de télécommunications (PSTI), présentée au Parlement aujourd’hui, permettra au gouvernement d’interdire les mots de passe universels par défaut, d’obliger les entreprises à être transparentes avec les clients sur ce qu’elles font pour corriger les failles de sécurité des produits enfichables et de créer une meilleure système de signalement public des vulnérabilités trouvées dans ces produits.

Le projet de loi accélérera également le déploiement de réseaux mobiles et haut débit plus rapides et plus fiables, facilitant ainsi la mise à niveau et le partage des infrastructures pour les opérateurs. Les réformes encourageront des négociations plus rapides et plus collaboratives avec les propriétaires fonciers qui hébergent l’équipement, afin de réduire les longues poursuites judiciaires qui entravent les améliorations de la connectivité numérique.

La ministre des Médias, des Données et de l’Infrastructure numérique, Julia Lopez, a déclaré :

Chaque jour, des pirates tentent de s’introduire dans les appareils intelligents des gens. La plupart d’entre nous supposent que si un produit est en vente, il est sûr et sécurisé. Cependant, beaucoup ne le sont pas, ce qui expose nombre d’entre nous à des risques de fraude et de vol.

Notre projet de loi mettra un pare-feu autour de la technologie quotidienne, des téléphones et thermostats aux lave-vaisselle, moniteurs pour bébé et sonnettes, et prévoira d’énormes amendes pour ceux qui enfreignent les nouvelles normes de sécurité strictes.

La possession et l’utilisation de produits de technologie connectée ont considérablement augmenté ces dernières années. En moyenne, il y en a neuf sur chaque ménage britannique, avec des prévisions suggérant qu’il pourrait y en avoir jusqu’à 50 milliards dans le monde d’ici 2030. Les gens supposent principalement que ces produits sont sûrs, mais seulement un fabricant sur cinq a mis en place des mesures de sécurité appropriées pour votre produits enfichables.

Les cybercriminels ciblent de plus en plus ces produits. Une récente enquête de Which? ont découvert qu’une maison pleine d’appareils intelligents peut être exposée à plus de 12 000 pirates informatiques inconnus ou attaques de numérisation du monde entier en une seule semaine.

Et au premier semestre 2021, il y a eu 1,5 milliard de tentatives de compromission des appareils de l’Internet des objets (IoT), soit le double du nombre de 2020. Le National Cyber ​​​​Security Center du Royaume-Uni a révélé la semaine dernière qu’il avait traité un nombre sans précédent de cyberincidents. l’année dernière.

Actuellement, les fabricants de produits de technologie numérique doivent respecter les règles pour éviter qu’ils ne causent des dommages physiques aux personnes en raison de problèmes tels que la surchauffe, les composants tranchants ou les chocs électriques. Mais il n’existe aucune réglementation pour protéger les consommateurs contre les dommages causés par les cyber-violations, qui peuvent inclure la fraude et le vol de données personnelles.

Le projet de loi PSTI combattra cette menace en donnant aux ministres de nouveaux pouvoirs pour instaurer des normes de sécurité plus strictes pour les fabricants d’appareils. Qui comprend:

  • L’interdiction des passeports standard faciles à deviner qui sont préchargés sur les appareils – tels que “mot de passe” ou “administrateur” – qui sont ciblés par les pirates. Tous les mots de passe fournis avec les nouveaux appareils doivent être uniques et ne peuvent pas être réinitialisés sur les paramètres d’usine universels.

  • Une exigence pour les fabricants de produits enfichables d’informer les clients sur le point de vente et de les tenir informés de la durée minimale pendant laquelle un produit recevra des mises à jour et des correctifs de sécurité vitaux. Si un produit n’est pas livré avec des mises à jour de sécurité, cela doit être divulgué. Cela sensibilisera les gens au moment où les produits qu’ils achètent peuvent devenir vulnérables, afin qu’ils puissent prendre des décisions d’achat plus éclairées. Près de 80 % de ces entreprises n’ont pas mis en place un tel système.

  • De nouvelles règles qui obligent les fabricants à fournir un point de contact public afin de simplifier la tâche des chercheurs en sécurité et autres pour signaler lorsqu’ils découvrent des failles et des bogues dans les produits

Le projet de loi impose aux entreprises visées l’obligation d’enquêter sur les manquements à la conformité, de produire des déclarations de conformité et de tenir des registres appropriés à cet égard.

Ce nouveau régime de cybersécurité sera supervisé par un régulateur, qui sera nommé une fois le projet de loi entré en vigueur, et aura le pouvoir d’infliger des amendes aux entreprises pour non-conformité jusqu’à 10 millions de livres sterling ou 4 % de leur chiffre d’affaires mondial, selon les besoins. ainsi que jusqu’à 20 000 £ par jour en cas de délit en cours.

Le régulateur peut également adresser des avis aux entreprises leur demandant de se conformer aux exigences de sécurité, de retirer leurs produits ou de cesser de les vendre ou de les fournir. Au fur et à mesure que de nouvelles menaces émergent ou que des normes se développent, les ministres seront habilités à imposer davantage d’exigences de sécurité aux entreprises à suivre par le biais de la législation secondaire.

Les nouvelles lois s’appliqueront non seulement aux fabricants, mais également à d’autres entreprises, y compris les magasins physiques et les détaillants en ligne, qui permettent la vente de millions d’importations de technologies bon marché au Royaume-Uni.

Il sera interdit aux détaillants de vendre des produits aux clients britanniques à moins qu’ils ne satisfassent aux exigences de sécurité et qu’ils soient tenus de transmettre aux clients des informations importantes sur les mises à jour de sécurité.

Le projet de loi s’applique aux produits “enfichables”, qui incluent tous les appareils pouvant accéder à Internet – tels que les smartphones, les téléviseurs intelligents, les consoles de jeux, les caméras de sécurité et les systèmes d’alarme, les jouets intelligents et les moniteurs pour bébé, les concentrateurs intelligents pour la maison et les assistants à commande vocale et appareils électroménagers intelligents tels que les machines à laver et les réfrigérateurs.

Cela s’applique également aux produits qui peuvent se connecter à de nombreux autres appareils, mais pas directement à Internet. Les exemples incluent les ampoules intelligentes, les thermostats intelligents et les trackers de fitness portables.

Le directeur technique du NCSC, Ian Levy, a déclaré :

Je suis très heureux de l’introduction de ce projet de loi qui assurera la sécurité des appareils grand public connectés et tiendra les fabricants d’appareils responsables du maintien de la cybersécurité de base.

Les exigences introduites par ce projet de loi – qui ont été élaborées conjointement par le DCMS et le NCSC en consultation avec l’industrie – marquent le début du voyage pour garantir que les appareils connectés sur le marché répondent à une norme de sécurité reconnue comme une bonne pratique.

Un seul appareil vulnérable peut mettre en danger le réseau d’un utilisateur. En 2017, des attaquants ont réussi à voler les données d’un casino américain via un aquarium connecté à Internet. Dans les cas extrêmes, des groupes hostiles ont profité de dispositifs de sécurité médiocres pour accéder aux webcams des personnes.

Le gouvernement a l’intention d’exempter certains produits – par exemple, lorsqu’il les soumettrait à une double réglementation ou ne conduirait pas à des améliorations matérielles de la sécurité des produits ou des utilisateurs. Cela inclut les véhicules, les compteurs intelligents, les bornes de recharge pour véhicules électriques et les dispositifs médicaux.

Les ordinateurs de bureau et portables ne sont pas concernés car ils sont desservis par un marché mature des logiciels antivirus, contrairement aux haut-parleurs intelligents et aux autres technologies grand public émergentes. Les systèmes d’exploitation des ordinateurs portables et des PC incluent déjà des fonctionnalités de sécurité, ce qui signifie qu’ils ne sont pas soumis aux mêmes menaces et risques.

Les produits enfichables d’occasion seront exemptés en raison des obligations peu pratiques que leur inclusion imposerait aux consommateurs et aux entreprises de manière disproportionnée par rapport aux avantages probables. Cependant, le projet de loi habilite les ministres à élargir la portée du projet de loi à mesure que les cybermenaces et les risques évoluent à l’avenir.

Les propriétaires de produits enfichables grand public sont encouragés à prendre des mesures pour s’assurer qu’ils utilisent leurs appareils en toute sécurité, notamment en suivant les conseils de Cyber ​​​​Aware sur l’amélioration de la sécurité en ligne. Le NCSC a également publié des directives sur l’utilisation sûre des appareils intelligents à la maison.

Rocio Concha, lequel ? Le directeur de la politique et du plaidoyer a déclaré :

Quoi? travaillé avec les gouvernements successifs sur la manière de sévir contre une vague de produits mal conçus et dangereux qui rendent les consommateurs vulnérables aux cybercriminels – c’est donc une bonne chose que ce projet de loi soit présenté au parlement.

Le gouvernement doit veiller à ce que ces nouvelles lois s’appliquent aux marchés en ligne, où Qual ? a souvent trouvé des produits à risque de sécurité vendus à grande échelle, pour empêcher les gens d’acheter des appareils intelligents qui les exposent aux escroqueries et aux violations de données.

Réformes des infrastructures de télécommunications

Aujourd’hui, le gouvernement a également publié sa réponse à une consultation sur les modifications proposées au Code des communications électroniques (CEC).

Les opérateurs de télécommunications et les propriétaires fonciers rencontrent des difficultés pour négocier les demandes de droits d’installation, d’utilisation et de mise à niveau des infrastructures de télécommunications. Ces problèmes ont ralenti le déploiement d’une meilleure couverture mobile et haut débit pour certains foyers et entreprises, les négociations prenant plus de temps qu’elles n’auraient dû et certaines affaires se terminant par des procédures judiciaires longues et coûteuses.

D’autres problèmes incluent les propriétaires fonciers qui ne répondent pas aux demandes d’accès terrestre pour le déploiement du réseau et les limitations strictes de la capacité des opérateurs à mettre à niveau et à partager leur équipement, ce qui empêche les réseaux existants d’être utilisés aussi efficacement que possible.

Le projet de loi PSTI abordera bon nombre de ces problèmes grâce à une série de mesures visant à promouvoir des négociations plus rapides et plus collaboratives et de meilleures relations de travail entre les opérateurs de réseaux mobiles et les propriétaires fonciers. Qui comprend:

  • Une nouvelle exigence pour les opérateurs de télécommunications d’envisager d’utiliser le règlement extrajudiciaire des différends (ADR) – un moyen de résoudre les différends qui n’implique pas d’action en justice, comme la médiation ou l’arbitrage – dans les cas où il y a des difficultés à s’entendre sur les conditions. Les exploitants seront également tenus d’expliquer la disponibilité de l’ADR en tant qu’option dans leurs avis aux propriétaires fonciers.

  • Nouveaux droits automatiques pour les opérateurs de mettre à niveau et de partager les infrastructures souterraines – telles que les câbles à fibres optiques – qui ont été installées avant les réformes du Code de 2017 et ne sont pas actuellement couvertes. C’est dans les cas où il n’y aura pas d’impact sur les terres privées ou d’encombrement pour le fournisseur du site Web.

  • De nouvelles règles permettant aux exploitants de demander plus rapidement un accès limité dans le temps à certains types de terres lorsqu’un propriétaire ne répond pas aux demandes répétées de permis.

  • De nouvelles dispositions pour accélérer les négociations des contrats de renouvellement. Les opérateurs qui disposent déjà d’une infrastructure installée avec un contrat expiré auront le droit de le renouveler dans des conditions similaires aux nouveaux contrats ou d’en demander un nouveau.

Les mesures sont vitales pour le réseau rural partagé de 1 milliard de livres sterling dirigé par le gouvernement, qui déploiera une couverture 4G rapide et fiable sur 95% de la masse continentale du Royaume-Uni, ainsi que pour atteindre l’objectif du gouvernement de 85% de couverture haut débit avec une capacité gigabit d’ici 2025. et que la majorité de la population sera à portée d’un réseau 5G d’ici 2027.

LA FIN

Notes aux rédacteurs :

Leave a Comment