Conformément à la loi de 2023 sur la sécurité des produits et les infrastructures de télécommunications (PSTI) émis par le Royaume-Uni le 29 avril 2023, le Royaume-Uni commencera à appliquer des exigences de sécurité réseau pour les appareils grand public connectés à partir du 29 avril 2024, applicables à l'Angleterre, à l'Écosse, au Pays de Galles et à l'Irlande du Nord. Les entreprises contrevenantes s’exposeront à des amendes pouvant aller jusqu’à 10 millions de livres sterling, soit 4 % de leur chiffre d’affaires mondial.
1.Introduction à la loi PSTI :
La politique britannique de sécurité des produits Consumer Connect entrera en vigueur et sera appliquée le 29 avril 2024. À partir de cette date, la loi obligera les fabricants de produits pouvant être connectés aux consommateurs britanniques à se conformer aux exigences minimales de sécurité. Ces exigences minimales de sécurité sont basées sur les lignes directrices britanniques relatives aux pratiques de sécurité de l'Internet des objets grand public, la norme de sécurité de l'Internet des objets grand public ETSI EN 303 645, leader mondial, et les recommandations de l'organisme britannique faisant autorité en matière de technologie de cybermenace, le National Cybersecurity Center. Ce système garantira également que d'autres entreprises de la chaîne d'approvisionnement de ces produits jouent un rôle en empêchant la vente de biens de consommation dangereux aux consommateurs et aux entreprises britanniques.
Ce système comprend deux textes législatifs :
1) Partie 1 de la loi de 2022 sur la sécurité des produits et l'infrastructure des télécommunications (PSTI) ;
2) Loi de 2023 sur la sécurité des produits et l'infrastructure des télécommunications (exigences de sécurité pour les produits connectés associés).
2. La loi PSTI couvre la gamme de produits :
1) Gamme de produits contrôlés PSTI :
Cela inclut, sans toutefois s'y limiter, les produits connectés à Internet. Les produits typiques incluent : une télévision intelligente, une caméra IP, un routeur, un éclairage intelligent et des produits ménagers.
2) Produits hors du champ de contrôle du PSTI :
Y compris les ordinateurs (a) les ordinateurs de bureau ; (b) Ordinateur portable ; (c) Tablettes qui n'ont pas la capacité de se connecter aux réseaux cellulaires (conçues spécifiquement pour les enfants de moins de 14 ans selon l'utilisation prévue du fabricant, sans exception), aux produits médicaux, aux produits de compteurs intelligents, aux chargeurs de véhicules électriques et au Bluetooth. Produits de connexion « sur un ». Veuillez noter que ces produits peuvent également avoir des exigences en matière de cybersécurité, mais ils ne sont pas couverts par la loi PSTI et peuvent être réglementés par d'autres lois.
3. Trois points clés à suivre par la loi PSTI :
Le projet de loi PSTI comprend deux parties principales : les exigences en matière de sécurité des produits et les lignes directrices en matière d'infrastructure de télécommunications. En matière de sécurité des produits, trois points clés nécessitent une attention particulière :
1) Exigences en matière de mot de passe, basées sur les dispositions réglementaires 5.1-1, 5.1-2. La loi PSTI interdit l'utilisation de mots de passe universels par défaut. Cela signifie que le produit doit définir un mot de passe par défaut unique ou demander aux utilisateurs de définir un mot de passe lors de leur première utilisation.
2) Problèmes de gestion de la sécurité, sur la base des dispositions réglementaires 5.2-1, les fabricants doivent élaborer et divulguer publiquement des politiques de divulgation des vulnérabilités pour garantir que les personnes qui découvrent des vulnérabilités peuvent en informer les fabricants et garantir que les fabricants peuvent informer rapidement les clients et fournir des mesures de réparation.
3) Le cycle de mise à jour de sécurité, basé sur les dispositions réglementaires 5.3 à 13, les fabricants doivent clarifier et divulguer la période la plus courte pendant laquelle ils fourniront des mises à jour de sécurité, afin que les consommateurs puissent comprendre la période de support des mises à jour de sécurité de leurs produits.
4. Loi PSTI et processus de test ETSI EN 303 645 :
1) Préparation des échantillons de données : 3 ensembles d'échantillons comprenant l'hôte et les accessoires, les logiciels non cryptés, les manuels d'utilisation/spécifications/services associés et les informations de compte de connexion
2) Création d'un environnement de test : établir un environnement de test conformément au manuel d'utilisation
3) Exécution de l'évaluation de la sécurité du réseau : examen des dossiers et tests techniques, vérification des questionnaires des fournisseurs et retour d'information
4) Réparation des faiblesses : fournir des services de conseil pour résoudre les problèmes de faiblesse
5) Fournir un rapport d'évaluation PSTI ou un rapport d'évaluation ETSI EN 303645
5. Documents de la loi PSTI :
1) Le régime britannique de sécurité des produits et d'infrastructure de télécommunications (sécurité des produits).
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
2) Loi de 2022 sur la sécurité des produits et l'infrastructure des télécommunications
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) Règlement de 2023 sur la sécurité des produits et l'infrastructure des télécommunications (exigences de sécurité pour les produits connectables pertinents).
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
Pour l’instant, c’est dans moins de 2 mois. Il est recommandé aux principaux fabricants exportant vers le marché britannique de compléter la certification PSTI dès que possible afin de garantir une entrée en douceur sur le marché britannique.
Heure de publication : 11 mars 2024