Première loi américaine sur la cybersécurité de l’Internet des objets en Californie

Au sens large, l’Internet des objets (IdO) s’entend des objets équipés de dispositifs informatiques leur permettant de se connecter à Internet et de transmettre et recevoir des données.

À mesure que les écosystèmes de produits des entreprises évoluent et que, sous l’effet de la demande des consommateurs, la fonctionnalité des appareils du quotidien augmente, l’IdO devient de plus en plus courant partout, de la gestion de la chaîne d’approvisionnement aux cafetières. Or, ces appareils « intelligents » connectés créent des points d’accès dans l’appareil lui-même, mais également dans le vaste réseau auquel il est connecté, donnant ainsi la possibilité à des tiers pirates aux motivations sordides d’accéder au système en réseau. La cybersécurité des appareils de l’IdO représente un sujet d’inquiétude croissant, car une brèche pourrait entraîner non seulement des conséquences financières et des atteintes à la réputation, mais aussi des blessures corporelles et des dommages matériels.

Il y a peu, la Californie est devenue le premier État américain à se doter d’une loi sur la cybersécurité de l’IdO. Le projet de loi SB-327 a été déposé l’an dernier, puis voté par le Sénat de l’État en août 2018. À son entrée en vigueur, prévue pour le 1er janvier 2020, cette loi exigera que tout fabricant d’un objet se connectant « directement ou indirectement » à Internet équipe cet objet de caractéristiques de sécurité « raisonnables », conçues pour empêcher l’accès non autorisé à de l’information ainsi que la destruction, l’utilisation, la modification et la divulgation non autorisées de cette information. Si le dispositif est protégé par un mot de passe à l’extérieur d’un réseau local, alors, 1) le mot de passe préprogrammé doit être unique à chaque dispositif fabriqué ou 2) le dispositif doit contenir une caractéristique de sécurité exigeant de l’utilisateur qu’il génère un nouveau mot de passe avant sa première utilisation. Théoriquement, cette exigence empêchera les pirates de deviner les authentifiants génériques par défaut. La loi s’applique aux personnes ou entités qui fabriquent des appareils connectés vendus ou mis en vente en Californie, ou qui concluent des contrats pour qu’une autre personne ou entité en fabrique pour leur compte. Le projet de loi n’énonce ni sanctions ni amendes précises, mais confère aux procureurs généraux et aux procureurs d’une ville, d’un comté ou d’un district le pouvoir exclusif d’application de la loi.

Les experts en cybersécurité ont accueilli le projet de loi avec circonspection, mais tous s’entendent pour dire qu’il s’agit d’un pas dans la bonne direction. D’autres projets de loi concernant l’IdO ont été déposés aux États-Unis, mais aucun n’avait été adopté à ce jour. Pour l’instant, le Canada ne s’est doté d’aucune loi sur l’IdO. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale qui régit la protection des renseignements personnels dans le cadre d’activités commerciales, demeure la principale loi sur la protection des renseignements personnels en vigueur au Canada. Toutefois, la question de savoir si les données que recueille un appareil connecté à l’IdO représentent des renseignements personnels au sens défini dans la LPRPDE dépasse largement le cadre du présent article.

Outre des mécanismes internes efficaces visant à assurer la conformité, une police d’assurance cyberresponsabilité peut aider les organisations, y compris les fabricants, qui cherchent à transférer une partie des risques pouvant découler d’une atteinte à la cybersécurité, d’un piratage des renseignements personnels ou du non-respect des lois sur la protection des renseignements personnels. Une police de cyberassurance offre une couverture pour les frais qu’engage une organisation afin de gérer une atteinte à la cybersécurité ou un piratage de renseignements personnels. La police couvre également les frais de règlement, de jugement et de défense lorsque l’organisation est partie à un litige de tiers ou à une procédure réglementaire. Si la police d’assurance cyberresponsabilité comprend des dispositions robustes, les amendes pour non-conformité aux lois sur la protection des renseignements personnels pourraient être couvertes, si la loi l’autorise. Pour les organisations qui utilisent des appareils connectés, la couverture des dommages corporels ou matériels découlant d’un piratage lié à l’IdO pourrait être offerte sous la forme d’un avenant ajouté à une police d’assurance des biens. Si ces questions préoccupent votre organisation, un courtier d’assurance expérimenté pourra vous renseigner sur les solutions de transfert de risques appropriées.