Axis Communications a obtenu la certification de conformité à la norme de cybersécurité ETSI EN 303 645. Cette certification est valable pour une large gamme de produits AXIS dotés d’AXIS OS 11 ou version supérieure, et s’applique aujourd’hui à plus de 150 appareils AXIS, ainsi qu’à de nouveaux appareils à venir. AXIS OS est le système d’exploitation Linux sur lequel se basent la plupart des produits réseau AXIS. La certification a été délivrée par Underwriters Laboratories (UL TS B.V.) et a été réalisée au sein de l’un des centres d’essais d’UL aux États-Unis. À l’avenir, Axis évaluera et mettra régulièrement à jour cette certification afin de préserver sa validité pour ses futurs produits.
La norme ETSI EN 303 645 contient 68 dispositions d’ordre technique qui définissent un cadre de cybersécurité de référence pour les appareils connectés. Ces exigences couvrent les appareils eux-mêmes, notamment la prise en charge des fonctionnalités de sécurité matérielles comme le stockage sécurisé des clés, ainsi que d’autres fonctionnalités de sécurité par défaut telles que l’activation du protocole HTTPS et l’absence de mot de passe par défaut. Autre aspect abordé : la gestion du cycle de vie. La norme exige par exemple d’instaurer une période de prise en charge bien définie pour les mises à jour de sécurité des appareils. Elle impose également entre autres la mise en place d’une méthodologie visant à réduire le risque de vulnérabilités au niveau du développement logiciel, la mise en place d’une politique transparente en matière de gestion des vulnérabilités et la sensibilisation aux bonnes pratiques vis-à-vis du traitement des données à caractère personnel. Ces exigences tiennent compte des bonnes pratiques du secteur qui contribuent à garantir que les produits certifiés présentent un certain niveau de sécurité de base tout au long de leur cycle de vie.
La norme a été élaborée par l’Institut européen de normalisation des télécommunications (ETSI), organisme indépendant de normalisation de l’information et des communications à but non lucratif. Si elle a été développée en Europe, la norme ETSI EN 303 645 est utile dans le monde entier et offre un large éventail d’applications. Cette norme est étroitement alignée sur d’autres normes, certifications et législations liées à la cybersécurité dans de nombreux secteurs et dans les pays/régions suivants :
- Union européenne (règlement européen sur la cyberrésilience, directive européenne sur les équipements radioélectriques)
- Finlande (label de cybersécurité finlandais)
- Allemagne (BSI – label de sécurité informatique)
- Royaume-Uni (UK Product Security and Telecommunications Infrastructure Act & Code of Practice for Consumer IoT Security)
- États-Unis (NIST IR 8425, Cyber Trust Mark)
- Inde (Code de bonnes pratiques TEC pour la sécurisation de l’Internet des objets pour les consommateurs)
- Vietnam (exigences de cybersécurité relatives à l’Internet des objets)
- Singapour (programme de labellisation de cybersécurité)
- Australie (Code de bonnes pratiques – Sécuriser l’Internet des objets pour les consommateurs)
La norme est disponible gratuitement sur le site Internet de l’ETSI.
Les certifications tierces basées sur des normes ouvertes pertinentes peuvent s’avérer utiles pour justifier la conformité à une législation existante ou anticiper sur un texte à venir. Toutefois, la cybersécurité n’est pas qu’une affaire de certification. Pour atteindre un niveau élevé de cybersécurité, il faut aller au-delà des normes. C’est la vision développée par Axis, notamment grâce à la prise en charge du réseau Zero Trust, à son programme de bug bounty et à une approche tenant compte de tout le cycle de vie des appareils en matière de cybersécurité.
Le secteur informatique, avec ses innovations permanentes tant du point de vue commercial que de la sécurité, a généralement une longueur d’avance sur les normes et les certifications. C’est pourquoi les normes et certifications doivent être considérées comme un outil parmi d’autres, qui sera utile dans certaines situations. À elles seules, les certifications ne fournissent pas nécessairement la valeur client souhaitée et peuvent même entraîner un retard des fabricants en termes d’innovation et de progrès technologique.
