Le 11 octobre 2022, la Maison-Blanche a publié un communiqué de presse (en anglais) présentant une série de mesures que le gouvernement des États-Unis adoptera afin de protéger ses cyberinfrastructures. Parmi ces mesures, mentionnons l'élaboration d'un nouveau programme volontaire visant la certification et l'étiquetage des objets connectés (Internet des objets ou IdO).

Dans le cadre du programme susmentionné, les produits répondant à certaines normes de cybersécurité (ces dernières n'ont pas encore été déterminées) seraient certifiés puis munis d'une étiquette approuvée par le gouvernement et attestant de leur certification. Axé dans un premier temps sur les routeurs et les caméras à domicile, le programme certifiera les produits à l'issue d'un processus de test et de vérification approfondi mené par des entités accréditées par le gouvernement.

Bien que le projet n'en soit qu'à ses débuts, un processus de consultation sera mené auprès des intervenants de l'industrie en octobre 2022 afin qu'ils participent à la discussion sur l'élaboration et le déploiement du programme.

Contexte

Cette annonce fait suite à un programme pilote initié par voie d'un décret présidentiel (en anglais) signé par le président Biden en mai 2021. Le décret ordonnait au National Institute of Standards and Technology (l'institut national des normes et de la technologie ou NIST) d'initier deux programmes pilotes d'étiquetage des produits aux fins de la cybersécurité : l'un visant les appareils IdO, et l'autre, les logiciels grand public. Après avoir mené à bien le programme pilote, le NIST a publié les critères recommandés pour le programme d'étiquetage (en anglais) le 4 février 2022, suivi d'un rapport (en anglais) sur le projet pilote, en date du 10 mai 2022.

Dans ces documents, on recommande l'utilisation d'une seule étiquette qui indiquerait qu'un produit a satisfait à une norme de base et porterait également un code URL ou un code QR permettant au consommateur d'accéder à des renseignements additionnels sur la signification de l'étiquette, les critères du produit et d'autres informations relatives à la cybersécurité et au programme de certification.

Quoique les normes spécifiques à respecter en matière de cybersécurité n'aient pas encore été développées, le rapport du NIST recommande, dans la mesure du possible, l'utilisation de normes existantes et une harmonisation des systèmes établis aux États-Unis et à l'échelle mondiale. Cette approche permettrait sans doute d'accélérer le processus d'élaboration du programme et de faciliter la conformité des fabricants d'appareils IdO, tout en contribuant à une reconnaissance accrue par les consommateurs sur le marché international.

Mentionnons que ce programme est loin d'être le premier du genre. En effet, plusieurs pays ont adopté des programmes d'étiquetage, ou s'affairent eux aussi à l'élaboration de tels programmes. À titre d'exemples, l'Allemagne, la Finlande et Singapour (pages en anglais) ont déjà mis en œuvre leurs propres programmes d'étiquetage visant les appareils connectés, programmes déployés à des fins de cybersécurité et soutenus par le gouvernement. Le Royaume-Uni a également annoncé (en anglais) une mesure semblable en 2020 et a soutenu des projets pilotes (en anglais) menés par l'industrie.

Ces systèmes se fondent en grande partie sur des normes existantes, notamment la norme EN 303 645 (en anglais), développée par la European Telecommunications Standards Institution (l'institut européen des normes de télécommunication ou ETSI). Outre ces bases communes, certains gouvernements ont également collaboré entre eux afin d'harmoniser ces mesures de cybersécurité encore davantage. La Finlande et Singapour, par exemple, ont conclu un protocole d'entente permettant d'effectuer une seule demande en vue de faire certifier un produit dans le cadre du programme d'étiquetage de chacun de ces deux pays. Certaines sources rapportent que les États-Unis collaborent avec l'UE pour l'élaboration de leur programme d'étiquetage, l'intention étant de faire en sorte que les produits américains portant une étiquette de cybersécurité puissent être vendus mondialement.

Un programme semblable pourrait-il être adopté au Canada?

Sachant que l'adoption de tels programmes devient de plus en plus fréquente à l'échelle mondiale, il se pourrait que le Canada adopte à son tour un programme semblable, soit une marque de certification, que ce soit dans le cadre d'une collaboration avec les États-Unis ou d'une mesure entièrement conçue au Canada.

Les organisations et les consommateurs canadiens ont sans doute entendu parler d'un système volontaire semblable établi par le gouvernement des États-Unis et visant une marque de certification liée à l'efficacité énergétique : ENERGY STAR. La Maison-Blanche a indiqué (en anglais) que le projet de cybersécurité doit s'inspirer du modèle ENERGY STAR, cette marque de certification détenue par la Environmental Protection Agency (EPA) des États-Unis. Mentionnons que cette marque est aussi employée au Canada, où elle est administrée par Ressources naturelles Canada. Utilisée sous licence par des organisations dont les produits satisfont aux critères d'efficacité énergétique définis par le gouvernement, la marque ENERGY STAR est devenue un symbole très reconnu auprès des consommateurs. Il existe donc un précédent de collaboration entre le Canada et les États-Unis lorsqu'il s'agit de systèmes de certification du genre.

Il convient de mentionner qu'un processus de consultation multipartite visant une initiative semblable axée sur l'étiquetage à des fins de cybersécurité de l'IdO a déjà été mis en œuvre au Canada. En partenariat avec Innovation, Science et Développement économique Canada (ISDE), plusieurs institutions canadiennes ont participé à un projet intitulé Processus multipartite canadien : Mettre en avant la sécurité de l'IdO, dont le rapport final a été publié en 2019. Ce projet a notamment donné lieu à la formation d'un groupe de travail chargé de formuler des recommandations pour l'élaboration d'un système d'étiquetage à des fins de cybersécurité de l'IdO. Bon nombre des recommandations présentées s'inspiraient de systèmes existant dans d'autres pays, et faisaient référence à différentes initiatives régionales d'élaboration de normes en cours au Royaume-Uni, dans l'UE, en Australie, aux États-Unis et au Canada.

Il existe aussi au Canada un précédent en ce qui a trait à la création d'un programme de marque de certification du genre. En 2019, ISDE, en collaboration avec le Centre canadien pour la cybersécurité, a mis en œuvre une initiative semblable visant la cybersécurité des entreprises. Le programme de certification CyberSécuritaire Canada, qui est administré par des organismes d'évaluation indépendants accrédités par le Conseil canadien des normes, permet aux petites et moyennes organisations ayant démontré qu'elles respectent une série de pratiques de sécurité de base d'utiliser la marque de certification Cybersécuritaire Canada. Les exigences du programme seront mises à jour le 1er janvier 2023 compte tenu d'une norme nationale développée suite à la mise en œuvre de Cybersécuritaire Canada.

Qu'est-ce que cela signifie pour les organisations canadiennes?

À l'heure actuelle, l'élaboration du programme d'étiquetage aux États-Unis en est à ses débuts et aucun programme similaire n'est en cours de développement au Canada. En outre, compte tenu de la nature volontaire de ce genre d'initiative, les organisations canadiennes exportant des appareils IdO vers des pays ayant adopté des programmes d'étiquetage ne sont pas tenus de se conformer à des normes précises en matière de cybersécurité, sauf si des lois ou règlements applicables l'exigent.

L'incidence de ces programmes sur le comportement d'achat n'a pas encore été mesurée. Toutefois, vu l'apparente popularité des systèmes d'étiquetage à des fins de cybersécurité auprès des intervenants de l'industrie et le fait que les gouvernements sont de plus en plus portés à en adopter, les organisations canadiennes qui exportent des appareils connectés auraient intérêt à explorer la question pour fidéliser les consommateurs et leur donner confiance quant à la qualité de leurs produits.