Axis Communications a reçu une certification pour conformité à la norme ETSI EN 303 645 en matière de cybersécurité. La certification est valable pour une large gamme de produits Axis exécutant AXIS OS 11 ou version ultérieure et s'applique aujourd'hui à plus de 150 périphériques Axis ainsi qu'aux nouveaux modèles qui seront lancés.
AXIS OS est le système d'exploitation basé sur Linux alimentant la plupart des produits réseau Axis. La certification a été délivrée par Underwriters Laboratories (UL TS B.V.) et a été réalisée par l'un des laboratoires d'essai d'UL aux États-Unis. Dorénavant, Axis testera et mettra à jour cette certification pour maintenir cette validité pour les futurs produits.
La norme ETSI EN 303 645 comprend 68 dispositions concernant des exigences techniques qui définissent la référence en matière de cybersécurité pour les périphériques connectés. Ces exigences couvrent les périphériques, notamment la prise en charge des fonctionnalités de sécurité matérielles telles que le stockage sécurisé des clés et les dispositifs de sécurité par défaut comme activer le HTTPS et l'absence de mots de passe par défaut. Un autre aspect implique la gestion du cycle de vie, comme le fait d'avoir une période d'assistance définie pour les mises à jour de sécurité des périphériques. D'autres comprennent une méthodologie de réduction du risque de vulnérabilités dans le développement des logiciels ; une politique de gestion des vulnérabilités transparente ; et le soutien des meilleures pratiques dans le traitement des données personnelles. Ces exigences prennent en compte les meilleures pratiques du secteur qui permettent d'assurer que les produits certifiés respectent un niveau de sécurité de référence minimal au cours de leur cycle de vie.
La norme est élaborée par l'Institut européen des normes de télécommunication (ETSI), qui est une organisation de normalisation indépendante et à but non-lucratif en matière d'informations et de communications. Bien qu'élaborée en Europe, la norme ETSI EN 303 645 est adaptée à un usage mondial et offre une vaste applicabilité. La norme s'aligne étroitement avec d'autres normes, certifications et législations relatives à la cybersécurité à travers différents secteurs et dans les pays/régions suivants :
- Union européenne (loi européenne sur la cyber-résilience, directive européenne sur les équipements radio)
- Finlande (label de cybersécurité finlandais)
- Allemagne (BSI – label de sécurité informatique)
- Royaume-Uni (loi sur la sécurité des produits et les infrastructures de télécommunication et code de conduite pour la sécurité de l'IdO grand public du Royaume-Uni)
- États-Unis (NIST IR 8425, Cyber Trust Mark)
- Inde (Code de conduite TED pour la sécurisation de l'internet des objets grand public)
- Vietnam (Exigences en matière de sécurité de l'information cybernétique pour l'internet des objets)
- Singapour (système de labellisation de cybersécurité)
- Australie (code de conduite : sécurisation de l'internet des objets grand public)
La norme est en libre accès sur le site Web ETSI, gratuitement.
Les certifications tierces basées sur les normes ouvertes pertinentes peuvent être utilisées pour démontrer la conformité aux législations à venir ou par anticipation. La cybersécurité, cependant, va au-delà des simples certifications. Pour atteindre de hauts niveaux de cybersécurité, il est nécessaire d'aller au-delà des normes. Ceci est démontré, entre autres choses, par le soutien d'Axis pour la mise en réseau de confiance zéro, un programme anti-bug et une approche du cycle de vie appliquée à la cybersécurité.
L'industrie informatique, avec son contexte en mutation permanente et ses innovations axées sur la sécurité, évolue généralement plus rapidement que les normes et les certifications. Par conséquent, les normes et certifications doivent être vues comme l'un des nombreux éléments qui peuvent être utiles dans certaines situations. Se concentrer seulement sur les certifications à des fins de justification ne fournissent pas nécessairement la valeur client souhaitée et peut ralentir les fabricants en matière d'innovation et de progrès technologiques.