NISTIR 8425 et US Cyber Trust Mark : label IoT US

Auteur Hugues Orgitello Mis à jour le 27 mai 2026 ~18 min de lecture

Guide - NISTIR 8425 / US Cyber Trust Mark

Publie en septembre 2022 par le National Institute of Standards and Technology, le document NISTIR 8425 intitule "Profile of the IoT Core Baseline for Consumer IoT Products" fournit la baseline technique sur laquelle la Federal Communications Commission a construit le programme volontaire US Cyber Trust Mark, adopte en mars 2024. Le label, materialise par un logo et un QR code imprimes sur l'emballage des produits IoT grand public, est administre par la FCC, instruit par des Cybersecurity Label Administrators accredites et evalue par des laboratoires CyberLABs. Ce guide expose le contenu de NISTIR 8425, l'architecture du programme, le contenu obligatoire du registre, et la comparaison avec le Cyber Resilience Act europeen et le PSTI Act britannique. Il distingue NISTIR 8425 de NIST SP 800-213, le document jumeau qui couvre les acquisitions federales americaines.

Origine: Executive Order 14028 et la commande politique

Le 12 mai 2021, le president des Etats-Unis a signe l'Executive Order 14028 intitule "Improving the Nation's Cybersecurity". Ce decret reagissait aux compromissions logicielles documentees de 2020 et 2021 (SolarWinds, Kaseya, Colonial Pipeline) et confiait au NIST plusieurs missions de doctrine: cadre Software Bill of Materials, criteres de cybersecurite pour les logiciels critiques, et labellisation des produits IoT et des logiciels consommateur.

La section 4(s) du decret demandait explicitement au NIST de definir, en concertation avec la Federal Trade Commission et d'autres agences, un programme volontaire de labellisation cybersecurite pour les produits IoT vendus au grand public. La logique etait celle d'une information du consommateur: les acheteurs ne disposaient d'aucun moyen simple de comparer la posture de securite de deux camera IP, deux thermostats connectes ou deux serrures intelligentes.

Le NIST a repondu en deux temps. Un premier document, NISTIR 8259 (2020), avait deja decrit les capacites de cybersecurite attendues d'un dispositif IoT, dans une formulation generale. NISTIR 8259A en avait derive un profil minimal de capacites techniques. NISTIR 8425, publie en 2022, applique cette demarche au cas du produit IoT consommateur, en simplifiant et en orientant le vocabulaire vers le grand public.

En parallele, la FCC a engage en 2023 une procedure reglementaire (Notice of Proposed Rulemaking, FCC 23-65) pour porter le programme. Apres consultation publique, la FCC a adopte le Report and Order FCC 24-26 le 14 mars 2024, etablissant officiellement le US Cyber Trust Mark comme programme administre par l'agence, sous le visa de son chair de l'epoque, Jessica Rosenworcel.

NISTIR 8425: le profil et son perimetre

NISTIR 8425 est un document court, organise autour d'un objectif unique: definir ce qu'un produit IoT consommateur doit etre capable de faire, et ce que l'organisation qui le commercialise doit etre capable de fournir, pour merite la confiance d'un acheteur grand public.

Le perimetre cible "consumer IoT products", c'est-a-dire les produits connectes destines a un usage domestique, personnel ou de loisir. La definition s'aligne sur celle d'ETSI EN 303 645, sans la decalquer mot pour mot:

• equipements de la maison connectee: thermostats, eclairages, prises, serrures, capteurs, detecteurs de fumee, cameras IP grand public, sonnettes video, assistants vocaux ;
• equipements portes: montres connectees, bracelets de sport, dispositifs de suivi de sommeil ou de sante grand public ;
• equipements pour enfants: moniteurs de bebe, jouets connectes ;
• equipements de loisir connectes: stations meteo, balances, equipements sportifs.

Sont hors perimetre les dispositifs medicaux reglementes par la FDA, les vehicules automobiles, les equipements industriels et professionnels, et les produits acquis par les agences federales (qui relevent de NIST SP 800-213).

NISTIR 8425 etablit une distinction structurante entre deux familles de capacites: les capacites techniques du produit, integrees a l'objet et a son logiciel, et les capacites non techniques de l'organisation, qui relevent du processus, de la documentation et de l'assistance.

Les six capacites techniques de produit

Le coeur de NISTIR 8425 tient en six capacites techniques. Chacune est decrite en termes de resultat attendu, sans imposer de technologie particuliere. Cette formulation "outcome-based" rejoint l'approche d'EN 303 645 et a vocation a rester stable face a l'evolution des technologies.

Capacite	Resultat attendu
Asset Identification	Le produit s'identifie de maniere unique et logique sur le reseau et dans l'inventaire utilisateur.
Product Configuration	La configuration du produit est modifiable de maniere authentifiee par l'utilisateur autorise.
Data Protection	Les donnees stockees et transmises par le produit sont protegees en confidentialite et integrite.
Interface Access Control	Toute interface logique ou physique exposee est protegee par un controle d'acces approprie.
Software Update	Le produit peut recevoir des mises a jour logicielles signees et verifiees, pendant la periode de support declaree.
Cybersecurity State Awareness	Le produit, ou son service compagnon, fournit a l'utilisateur un etat de sa posture de securite (presence d'une mise a jour, etat des credentials, integrite).

Une lecture rapide montre la proximite avec les provisions 5.1 a 5.13 d'EN 303 645. La capacite "Software Update" recouvre la provision 5.3 et son exigence de periode de support. "Interface Access Control" rejoint les provisions 5.1, 5.4 et 5.6. "Data Protection" se chevauche avec 5.5 et 5.8. Cette convergence est intentionnelle, et plusieurs documents NIST citent EN 303 645 comme reference comparative.

NISTIR 8425 ne fixe pas de liste d'exigences atomiques verifiables. C'est le programme Cyber Trust Mark, via les criteres techniques publies par la FCC et les CLA, qui transforme ces six capacites en cas de test concrets. Cette construction en deux etages, baseline doctrinaire d'un cote, criteres operationnels de l'autre, vise un double objectif: stabiliser la baseline dans le temps tout en laissant la FCC ajuster les criteres au rythme des menaces emergentes et des retours d'experience de terrain.

L'approche fonctionnelle a un autre merite. Elle facilite l'integration de profils sectoriels (jouets connectes, sante grand public, equipements pour enfants) sans remettre en cause la structure de NISTIR 8425. Le NIST a publie en 2024 des notes preparatoires evoquant ces declinaisons, qui pourraient prendre la forme de profils complementaires sous numerotation 8425-1, 8425-2, etc., selon une logique analogue a la serie 800-213A pour les marches federaux.

Les capacites non techniques de l'organisation

NISTIR 8425 reconnait que la cybersecurite d'un produit IoT ne se reduit pas a ce que fait l'objet lui-meme. Un equipement parfaitement concu cesse de l'etre si son fabricant ne traite pas les vulnerabilites remontees, ne publie pas de mises a jour, ou ne documente pas l'arret de support.

Quatre capacites non techniques sont definies:

• Documentation: le fabricant tient une documentation accessible sur les fonctions de securite du produit, sa configuration, ses interfaces, et la duree de support.
• Information and Query Reception: le fabricant publie un canal de reception des requetes (utilisateurs, chercheurs, autorites) sur la securite du produit, et y repond dans des delais documentes.
• Information Dissemination: le fabricant diffuse de maniere active les informations pertinentes (mises a jour, alertes, fin de support) vers les utilisateurs et le registre Cyber Trust Mark.
• Product Education and Awareness: le fabricant fournit a l'utilisateur les elements lui permettant d'utiliser le produit de maniere securisee (guide de configuration, bonnes pratiques, signification du label).

A ces quatre capacites s'ajoute une exigence transversale: la declaration et la tenue d'une periode de support securite, exprimee en duree calendaire a compter de la mise sur le marche. Cette declaration est obligatoire pour apposer le label et figure dans le registre.

L'imbrication entre capacites techniques et capacites non techniques est une reponse explicite aux defaillances repetees observees depuis 2016. Le botnet Mirai n'a pas exploite des vulnerabilites cryptographiques sophistiquees, il a tire parti de mots de passe par defaut connus, d'interfaces telnet exposees et d'absence de mises a jour. La cause n'etait pas seulement technique, elle etait organisationnelle: aucun canal pour signaler la vulnerabilite, aucun engagement public sur la maintenance, aucune information aux utilisateurs sur l'arret de support. NISTIR 8425 traite les deux dimensions de maniere couplee.

Architecture du programme US Cyber Trust Mark

Le programme adopte une architecture a quatre niveaux, formalisee par le Report and Order FCC 24-26.

Acteur	Role	Source de l'autorite
FCC	Administrateur du programme, autorite de derniere instance, gestion du registre et des sanctions	47 CFR Part 8, sous-chapitre dedie
CLA (Cybersecurity Label Administrator)	Instruction des demandes, surveillance du marche, tenue operationnelle des fiches registre	Accreditation par la FCC
CyberLAB	Evaluation technique du produit contre la baseline NISTIR 8425 et les criteres FCC	Accreditation ISO/IEC 17025 etendue, reconnue par la FCC
Fabricant	Conception, demande, declaration de la periode de support, maintenance	Accord d'engagement signe au depot

La FCC ne realise pas elle-meme les evaluations. Elle accredite les CLA et reconnait les CyberLABs, qui executent l'instruction et les essais. Le fabricant choisit un CLA, lequel mandate ou accepte un CyberLAB. Le CyberLAB execute l'evaluation, produit un rapport, le transmet au CLA. Le CLA, apres revue, decide de la delivrance du droit d'usage du label et de la publication de la fiche registre.

Ce schema demultiplie les capacites d'instruction tout en maintenant un point unique d'autorite. Il rappelle le modele Notified Body europeen, sans en avoir la base juridique transversale.

Les CLA sont selectionnes par appel a candidature ouvert par la FCC. Le Report and Order detaille les criteres d'eligibilite: experience demontree en cybersecurite IoT, capacite a tenir un registre public, separation des fonctions commerciales et d'instruction, regles de conflit d'interet. Plusieurs organismes deja actifs dans la certification produit (UL Solutions, TUV, Intertek, organismes de certification specialises en cybersecurite) ont annonce leur candidature des 2024. La premiere vague d'accreditation a ete annoncee fin 2024.

Les CyberLABs sont des laboratoires d'essai accredites contre une extension de la norme ISO/IEC 17025 specifique au programme. La FCC reconnait l'accreditation delivree par un organisme tiers (typiquement A2LA ou NVLAP aux Etats-Unis). Un CyberLAB peut etre interne a un CLA (modele integre) ou independant (modele separe). Le marche supporte les deux configurations.

Cette architecture cree une chaine de responsabilite traceable. En cas d'incident grave sur un produit etiquete, l'enquete peut remonter de la fiche registre au CLA, du CLA au CyberLAB, du CyberLAB au fabricant. La FCC conserve la capacite d'auditer chaque maillon et de prononcer des sanctions specifiques selon le niveau de responsabilite.

Le label et le QR code

L'apposition physique du label sur le produit, son emballage ou sa documentation suit un gabarit visuel defini par la FCC. Le label comprend deux elements obligatoires:

• une marque graphique Cyber Trust Mark, un logotype defini par la FCC, lisible sans equipement particulier et accompagne d'une legende courte ;
• un QR code unique, scannable par tout smartphone, pointant vers la fiche du produit dans le registre Cybersecurity Information Registry.

Le QR code est central. Il garantit que l'information presentee a l'acheteur est fraiche, controlee et tracable. Une etiquette papier vieillit, un QR code resolu cote serveur est mis a jour en quasi temps reel par le CLA.

La fiche cible du QR contient au minimum les elements suivants:

• nom du fabricant et du produit, references commerciales ;
• identifiant CLA, identifiant CyberLAB, dates d'evaluation ;
• baseline appliquee (NISTIR 8425 dans sa version en vigueur, le cas echeant accompagnee de profils sectoriels) ;
• duree de support securite declaree, date d'expiration prevue ;
• canal de signalement des vulnerabilites ;
• procedure de configuration securisee initiale ;
• politique de fin de support (notamment, ce qui se passe a expiration de la duree declaree) ;
• historique des evolutions materielles de la fiche.

Le fabricant a l'obligation de tenir la fiche a jour. Tout changement significatif (passage d'une version majeure du firmware, modification de la periode de support residuelle, decouverte d'une vulnerabilite traitee) declenche une mise a jour cote registre.

La conception graphique du label fait l'objet d'un cahier des charges precis: hauteur minimale, contraste, position relative aux autres marquages reglementaires (FCC ID, marquage CE pour les produits multi-marches, marquages electriques), et coexistence avec le QR code. Le label peut figurer sur le produit lui-meme, sur l'emballage primaire, sur l'emballage secondaire et dans la documentation electronique. Le fabricant choisit l'emplacement le plus pertinent compte tenu du format produit, sous reserve de visibilite pour l'acheteur avant l'achat.

Cette articulation entre marquage physique et registre numerique resout un probleme structurel des labels papier: l'obsolescence informationnelle. Un produit reste en vente plusieurs annees apres impression de l'emballage. Avec un QR code, le contenu informationnel evolue cote serveur tandis que la marque graphique reste stable. Cette logique de "label vivant" est l'une des principales innovations du programme par rapport aux schemas anterieurs.

Representation schematique de la chaine

[ Fabricant ]
      |
      | depose
      v
[ CLA accredite ] -- mandate --> [ CyberLAB accredite ]
      |                                      |
      | revoit rapport <----- transmet ------+
      v
[ Droit d'usage du label ]
      |
      | publie fiche
      v
[ Cybersecurity Information Registry (FCC) ]
      ^
      | scanne QR
      |
[ Consommateur ] <-- voit label --- [ Produit / emballage ]

La FCC conserve un droit d'audit sur les CLA, sur les CyberLABs et indirectement sur les fabricants. Une violation peut conduire au retrait du droit d'usage et a des sanctions reglementaires de droit commun (47 USC).

La periode de support, point critique

La declaration de la periode de support securite est l'innovation majeure du programme par rapport aux schemas anterieurs. Trois principes s'appliquent.

Principe d'engagement. La duree declaree par le fabricant est un engagement public. Le label n'est pas accorde si la duree n'est pas declaree. Aucune duree minimale n'est imposee par la FCC, le marche etant suppose recompenser les engagements longs.

Principe de visibilite. La duree est visible avant achat, sur l'emballage et dans la fiche registre. Cette transparence vise a permettre au consommateur d'integrer le critere dans sa decision d'achat.

Principe de transparence en fin de course. L'expiration de la periode declaree n'est pas une cause d'interdiction de vente. Elle declenche une mise a jour du registre, qui passe en statut "support ended" pour le produit concerne. Le label devient caduc pour les nouveaux acheteurs. Le fabricant doit informer les utilisateurs existants par les canaux declares.

Maintenir un label sans honorer la periode de support annoncee constitue une infraction au programme. La FCC peut retirer le droit d'usage et sanctionner sur le fondement des regles de loyaute commerciale.

Comparaison avec les autres regimes

Le programme americain n'est pas isole. Il s'inscrit dans un mouvement international de regulation et de labellisation de la cybersecurite IoT. Le tableau ci-dessous synthetise les principales differences.

Dimension	US Cyber Trust Mark	EU Cyber Resilience Act	UK PSTI Act 2022
Statut	Volontaire	Obligatoire	Obligatoire
Autorite	FCC + CLA + CyberLABs	Commission + autorites nationales de surveillance	OPSS (UK)
Perimetre	IoT consommateur	Tout produit avec elements numeriques	IoT consommateur
Baseline technique	NISTIR 8425	Normes harmonisees CRA, en cours	EN 303 645 (3 premieres provisions)
Periode de support declaree	Obligatoire pour apposer le label	Obligatoire (au moins 5 ans en regle generale)	Obligatoire
Date	Adopte mars 2024, deploiement 2025-2026	Applicable 11 decembre 2027	Applicable 29 avril 2024
Sanctions	Retrait du label, sanctions FCC	Amendes jusqu'a 15 M EUR ou 2,5% du CA mondial	Amendes jusqu'a 10 M GBP ou 4% du CA mondial
Reconnaissance internationale	Discussions en cours avec UE	Reconnaissance via EUCC en construction	Convergence avec CRA en cours

Au-dela de ces trois regimes, d'autres juridictions ont mis en place des labels consommateur volontaires:

• Singapour, Cybersecurity Labelling Scheme (CLS), quatre niveaux, obligatoire pour les routeurs Wi-Fi vendus a Singapour depuis 2020, base sur EN 303 645.
• Finlande, label cybersecurite Traficom, depuis 2019, valable trois ans, base sur EN 303 645.
• Australie, Code of Practice: Securing the Internet of Things for Consumers, volontaire, base sur EN 303 645.
• Inde, programme CCS for IoT opere par STQC, base sur EN 303 645.

L'ensemble de ces schemas converge vers une meme grammaire technique: identification, configuration, mise a jour, protection des donnees, controle d'acces, gestion des vulnerabilites, declaration de la periode de support. Les ecarts portent sur le statut juridique, sur l'organe d'administration et sur le degre de detail des criteres.

Cette convergence n'est pas accidentelle. La plupart des participants aux travaux ETSI sur EN 303 645 ont egalement contribue aux consultations du NIST sur NISTIR 8425 et a la procedure FCC. Les regulateurs eux-memes echangent dans le cadre du Cybersecurity Tech Accord, du Global Forum on Cyber Expertise et de l'OCDE. Cette circulation des experts produit une homogeneisation progressive des baselines, en attendant des accords formels de reconnaissance mutuelle.

Le contraste entre statut volontaire et statut obligatoire merite d'etre lu correctement. Un fabricant qui vise le marche europeen et britannique n'a pas le choix: il devra se conformer au CRA et au PSTI Act. Un fabricant qui vise uniquement le marche americain peut, en theorie, ignorer le US Cyber Trust Mark. En pratique, plusieurs distributeurs et plates-formes de commerce en ligne ont annonce une preference pour les produits etiquetes, ce qui transforme le label volontaire en quasi-obligation commerciale. La frontiere entre regulation et pression marche se brouille rapidement sur ce type de programme.

Alignement avec ETSI EN 303 645

NISTIR 8425 et ETSI EN 303 645 sont nes de demarches paralleles, autour des memes constats. Leur niveau de convergence est eleve, ce qui a deux consequences pratiques.

D'une part, un produit deja evalue contre EN 303 645 couvre une part substantielle des attentes NISTIR 8425. Le travail residuel concerne surtout la documentation specifique attendue par la FCC, le mappage des cas de test du CyberLAB, et la maintenance de la fiche registre. Un fabricant qui a deja mene une evaluation TS 103 701 dispose d'un avantage operationnel net.

D'autre part, la perspective d'un accord de reconnaissance mutuelle entre les Etats-Unis et l'Union europeenne est ouverte. Le Cybersecurity Act europeen (regulation UE 2019/881) prevoit la possibilite pour l'ENISA de signer des accords avec des autorites tierces dans le cadre du futur schema EUCC. La FCC a indique en 2024 et 2025 son interet pour ce type d'accord. A la date de redaction, aucun accord formel n'est entre en vigueur.

Le fabricant qui vise les deux marches doit donc, jusqu'a nouvel ordre, conduire deux processus distincts: un dossier RED 3.3 / EN 18031 pour l'UE et une demande Cyber Trust Mark aupres d'un CLA pour les Etats-Unis. Les artefacts d'evaluation (politiques, journaux, configuration, listes de vulnerabilites) sont en grande partie communs.

Distinction avec NIST SP 800-213

NIST SP 800-213 et la serie associee 800-213A definissent une baseline IoT pour les acquisitions du gouvernement federal americain. Cette baseline est plus exigeante que celle de NISTIR 8425, parce qu'elle vise des cas d'usage gouvernementaux (controle d'acces multi-niveaux, journalisation centralisee, integration avec les outils federaux de gestion des identites, conformite FIPS).

Confondre les deux references est une erreur frequente. Un produit conforme NIST SP 800-213 est probablement conforme NISTIR 8425, mais la reciproque n'est pas vraie. Le tableau suivant clarifie.

Critere	NISTIR 8425	NIST SP 800-213 / 800-213A
Public cible	Consommateur grand public	Agences federales americaines
Source legislative	EO 14028	IoT Cybersecurity Improvement Act 2020
Statut	Volontaire (via Cyber Trust Mark)	Obligatoire pour les acquisitions federales
Profondeur	Baseline minimale	Baseline + capacites etendues
Verification	CyberLAB + CLA	Verification par l'agence acheteuse

Pour un fabricant qui cible uniquement le marche consommateur americain, NISTIR 8425 est le seul document a maitriser. Pour un fabricant qui vise aussi le secteur public federal, l'examen de NIST SP 800-213 est necessaire.

Pour un fabricant: demarche pratique

Un projet Cyber Trust Mark s'articule en cinq phases dans la perspective d'un produit deja en developpement.

1. Cadrage et choix du CLA. Identifier les CLA accredites par la FCC au moment de la demande, evaluer leurs procedures, leurs delais et leurs cout indicatifs. Confirmer le perimetre du produit (versions de firmware, options materielles, services compagnons).

2. Auto-evaluation contre NISTIR 8425. Cartographier le produit contre les six capacites techniques et les quatre capacites non techniques. Pour chaque capacite, lister les preuves disponibles, identifier les ecarts et planifier les actions correctives. Un fabricant qui a deja mene une evaluation EN 303 645 reutilise une part substantielle du materiel.

3. Evaluation par un CyberLAB. Le CyberLAB execute le programme de test, examine la documentation, verifie la presence des canaux de signalement et la coherence de la periode de support declaree. Les non-conformites donnent lieu a actions correctives et retest partiel.

4. Decision du CLA et publication. Le CLA revoit le rapport du CyberLAB, statue sur la delivrance du droit d'usage du label, et publie la fiche dans le registre. Le fabricant peut alors apposer le label et le QR code sur le produit et son emballage.

5. Maintien. Le fabricant tient la fiche a jour pendant la duree de validite du label, applique les mises a jour annoncees, communique sur les vulnerabilites et la fin de support, et conserve les artefacts d'evaluation pour audit.

Voir aussi

• NIST SP 800-213 et 8259A: socle cybersecurite IoT americain
• Common Criteria (ISO/IEC 15408) : securite IT
• FIPS 140-3 : validation des modules cryptographiques
• CSPN et ANSSI Visa : cybersecurite francaise

Un cas concret de la preparation d'un dossier US Cyber Trust Mark ou la cartographie NISTIR 8425 d'un produit IoT ? AESTECHNO peut auditer votre conception et votre plan de certification. Nous contacter →

Pieges frequents observes

Trois classes d'erreurs reviennent dans les premiers dossiers prepares par les fabricants en 2024 et 2025.

Croire que le label est mandatory. Le US Cyber Trust Mark est volontaire. Aucune obligation legale federale n'exige son apposition pour vendre un produit IoT consommateur aux Etats-Unis. Cette confusion conduit certains importateurs a sur-prioriser le label par rapport a d'autres obligations effectives (FCC Part 15, FCC Part 18, certifications electriques NRTL).

Omettre la publication de la fiche registre. Le label imprime ne tient pas seul. Sans fiche publique resolue par le QR code, le label n'est pas valide. Un produit etiquete dont la fiche n'est pas publiee, ou pointe vers une fiche perimee, est en infraction au programme.

Declarer une periode de support intenable. La periode de support est un engagement contractuel. Un fabricant qui annonce dix ans pour se distinguer commercialement, sans budget realiste de maintenance firmware sur dix ans, s'expose a la caducite anticipee et a la perte de credibilite. Une duree courte mais honoree vaut mieux qu'une duree longue non tenue.

D'autres pieges secondaires concernent la confusion entre marquage FCC Part 15 (compatibilite radioelectrique) et Cyber Trust Mark (cybersecurite), deux programmes administres par la meme agence mais regis par des regles distinctes. Les deux peuvent coexister sur un meme produit, mais l'un n'implique pas l'autre.

Un quatrieme ecueil concerne le perimetre evalue. Un produit IoT moderne s'appuie souvent sur un service cloud, sur une application mobile compagnon et sur un firmware embarque. Le programme Cyber Trust Mark couvre l'ensemble fonctionnel necessaire a la securite du dispositif, ce qui inclut les services compagnons critiques. Un fabricant qui declare le seul firmware embarque et omet le service cloud associe presente un dossier incomplet. La revue par le CyberLAB doit englober toute la surface fonctionnelle.

Un cinquieme piege touche les produits multi-marches. Un fabricant qui obtient le label aux Etats-Unis et apose le QR code sur un emballage destine egalement a l'export vers l'UE, le Royaume-Uni ou le Canada doit verifier que le QR code et la fiche registre n'entrent pas en conflit avec les exigences locales d'etiquetage. La fiche registre est en anglais et hebergee aux Etats-Unis, ce qui peut soulever des questions de droit a l'information consommateur dans certaines juridictions.

Perspectives 2026 et au-dela

Trois evolutions structurent l'agenda du programme.

D'abord, la montee en charge du registre. La FCC et les CLA travaillent a un registre operationnel a l'echelle de plusieurs milliers de produits, avec des API d'interrogation pour les agregateurs (places de marche, comparateurs, distributeurs). La qualite de service du registre conditionne la credibilite du QR code.

Ensuite, les profils sectoriels. NISTIR 8425 a vocation a etre complete par des profils sectoriels (sante grand public, jouets, equipements pour enfants, automobile grand public). Le NIST publie des notes preparatoires sur ces declinaisons, qui pourraient devenir des documents derives.

Enfin, les accords internationaux. Les discussions FCC / ENISA et FCC / UK OPSS sur la reconnaissance mutuelle des evaluations sont annoncees comme prioritaires. Un succes ferait baisser le cout de double conformite pour les fabricants exportateurs.

Pour un bureau d'etudes qui concoit aujourd'hui un produit IoT consommateur destine aux marches americain et europeen, la trajectoire prudente reste de viser des le depart la convergence: structurer le dossier autour des six capacites NISTIR 8425, qui recouvrent largement les provisions EN 303 645 et les exigences essentielles du futur CRA, et planifier les deux demarches en parallele.

Besoin d’un appui ?

Un audit de 30 minutes avec les ingénieurs AESTECHNO.

AESTECHNO est le bureau d'études qui édite spilma. Nous aidons les équipes produit à cadrer leur démarche de certification et à éviter les pièges classiques.

Réserver un audit gratuit

Pour aller plus loin

• ETSI EN 303 645: la baseline IoT consommateur mondiale, proche de NISTIR 8425
• NIST SP 800-213: la baseline federale americaine, document jumeau de NISTIR 8425
• Cyber Resilience Act: le futur regime europeen obligatoire, applicable le 11 decembre 2027
• Certification FCC: cadre transversal FCC, complementaire et distinct du Cyber Trust Mark
• Glossaire: definitions des termes FCC, NIST, CLA et CyberLAB

Sources & références

1. NISTIR 8425, Profile of the IoT Core Baseline for Consumer IoT Products , NIST csrc.nist.gov/pubs/ir/8425/final
2. FCC Cyber Trust Mark program page , Federal Communications Commission www.fcc.gov/CyberTrustMark
3. FCC Report and Order, FCC 24-26 (March 2024), Cybersecurity Labeling , Federal Communications Commission www.fcc.gov/document/fcc-adopts-voluntary-cybersecurity-labeling-program-iot-products
4. NIST IoT Cybersecurity Program , NIST www.nist.gov/itl/applied-cybersecurity/nist-cybersecurity-iot-program
5. Executive Order 14028, Improving the Nation's Cybersecurity , Federal Register www.federalregister.gov/documents/2021/05/17/2021-10460/improving-the-nations-cybersecurity
6. NIST SP 800-213 and 800-213A, IoT Device Cybersecurity for Federal Agencies , NIST csrc.nist.gov/pubs/sp/800/213/final
7. IoT Cybersecurity Improvement Act of 2020 (Public Law 116-207) , US Congress www.congress.gov/bill/116th-congress/house-bill/1668