Axis Communications a obtenu la certification de conformité à la norme de cybersécurité ETSI EN 303 645. Cette certification est valable pour une large gamme de produits Axis dotés d’AXIS OS 11 ou version ultérieure, et s’applique aujourd’hui à plus de 150 périphériques Axis ainsi qu'aux nouveaux modèles qui seront lancés. AXIS OS est le système d’exploitation Linux alimentant la plupart des produits réseau Axis. La certification a été délivrée par Underwriters Laboratories (UL TS B.V.) et a été réalisée par l'un des laboratoires d'essai d'UL aux États-Unis. Dorénavant, Axis testera et mettra à jour cette certification pour maintenir cette validité pour les futurs produits.
La norme ETSI EN 303 645 contient 68 dispositions concernant des exigences techniques qui définissent la référence en matière de cybersécurité pour les périphériques connectés. Ces exigences couvrent les périphériques, notamment la prise en charge des fonctionnalités de sécurité matérielles telles que le stockage sécurisé des clés et les dispositifs de sécurité par défaut comme activer le HTTPS et l'absence de mots de passe par défaut. Autre aspect abordé : la gestion du cycle de vie. La norme exige par exemple d’instaurer une période de prise en charge bien définie pour les mises à jour de sécurité des appareils. Elle impose également entre autres la mise en place d’une méthodologie visant à réduire le risque de vulnérabilités au niveau du développement logiciel, la mise en place d’une politique transparente en matière de gestion des vulnérabilités et la sensibilisation aux bonnes pratiques vis-à-vis du traitement des données personnelles. Ces exigences tiennent compte des bonnes pratiques du secteur qui contribuent à garantir que les produits certifiés présentent un certain niveau de sécurité de base tout au long de leur cycle de vie.
La norme a été élaborée par l’Institut européen de normalisation des télécommunications (ETSI), organisme indépendant de normalisation de l’information et des communications à but non lucratif. Si elle a été développée en Europe, la norme ETSI EN 303 645 est utile dans le monde entier et offre un large éventail d’applications. La norme s'aligne étroitement avec d'autres normes, certifications et législations relatives à la cybersécurité à travers différents secteurs et dans les pays/régions suivants :
- Union européenne (règlement européen sur la cyber-résilience, directive européenne sur les équipements radioélectriques)
- Finlande (label de cybersécurité finlandais)
- Allemagne (BSI – label de sécurité informatique)
- Royaume-Uni (UK Product Security and Telecommunications Infrastructure Act & Code of Practice for Consumer IoT Security)
- États-Unis (NIST IR 8425, Cyber Trust Mark)
- Inde (Code de conduite TED pour la sécurisation de l'internet des objets grand public)
- Vietnam (exigences de cybersécurité relatives à l’Internet des objets)
- Singapour (programme de labellisation de cybersécurité)
- Australie (Code de bonnes pratiques – Sécuriser l’Internet des objets pour les consommateurs)
La norme est disponible gratuitement sur le site Internet de l’ETSI.
Les certifications tierces basées sur les normes ouvertes pertinentes peuvent être utilisées pour démontrer la conformité aux législations à venir ou par anticipation. Toutefois, la cybersécurité n’est pas qu’une affaire de certification. Pour atteindre un haut niveau de cybersécurité, il faut aller au-delà des normes. C’est la vision développée par Axis, notamment grâce à la prise en charge du réseau Zero Trust, à son programme de bug bounty et à une approche du cycle de vie appliquée à la cybersécurité.
Le secteur informatique, avec ses innovations permanentes tant du point de vue commercial que de la sécurité, a généralement une longueur d’avance sur les normes et les certifications. C’est pourquoi elles doivent être considérées comme un outil parmi d’autres, qui sera utile dans certaines situations. À elles seules, les certifications ne fournissent pas nécessairement la valeur client souhaitée et peuvent même entraîner un retard des fabricants en termes d’innovation et de progrès technologique.
