Et si la sécurité était le principal enjeu de l’IoT ?
Pour Digital Security, qui a créé le premier label de sécurité de l’IoT, la sécurité des solutions connectées nécessite une véritable vision d’ensemble et pas seulement technologique.
«A quoi bon sécuriser l’objet ? Il n’est qu’un élément de la chaîne de valeur. Si, de fait, il contient des données à protéger, il s’intègre la plupart du temps dans une chaîne de valeur complexe qui implique une vision globale de la sécurité et pas seulement technologique. L’effort doit être porté sur l’écosystème, tenir compte des usages, des menaces, des comportements…» Pour Jean-Claude Tapia, président de Digital Security, une filiale du groupe Econocom, il est grand temps de considérer la sécurité de façon holistique. «L’IoT nous entraîne dans une dimension inconnue, sans rapport avec la sécurité périmétrique qui a toujours guidé l’industrie informatique.»
Si la sécurité des objets n’est pas la finalité, il ne s’agit pas pour autant de la négliger. Près des deux tiers des objets connectés évalués par Digital Security au cours de l’année passée présentaient une interface de débogage permettant de prendre le contrôle total du système sous-jacent. Pour Cédric Messeguer, General Manager, Digital Security, il faut comprendre par là que la sécurité d’une solution connectée est un problème complexe compte-tenu de la variété des composants et des technologies utilisées. Et seuls des spécialistes peuvent la prendre en charge.
Tous acteurs !
De la prise de contrôle de voitures connectées en cassant le mot de passe Wi-Fi aux diagnostics de vulnérabilités au sein de serrures connectées, le manque de sécurité des objets connectés ouvre la porte à tous les dangers. «D’emblée, on songe aux grandes catastrophes évitées de justesse, comme cette cyber-attaque contre le barrage de Bowman Dam dans l’Etat de New York. Mais c’est oublier que le danger est partout, jusque dans la porte de votre réfrigérateur… » Il ne s’agit donc plus de sécurité informatique, mais de sécurité au sens large dans le sens où la technologie est partout. Et elle nous concerne tous. «Dans l’entreprise, nous sommes des usagers du système d’information. C’est l’entreprise, par son service informatique, qui assure notre sécurité, estime Jean-Claude Tapia. Avec l’IoT, il n’est plus question d’usagers, partant que nous sommes tous acteurs. A nous de prendre nos responsabilités !» Sommes-nous en mesure d’assurer cette responsabilité ? C’est une autre question. Elle mériterait, d’ailleurs, qu’on s’y attarde…
Victimes du time-to-Market
Poser la question de la responsabilisation, c’est aussi poser celle de la déresponsabilisation. La sécurité a toujours été cloisonnée, nous le vivons au quotidien dans l’informatique -c’est la faute à l’éditeur, à l’intégrateur, à l’opérateur télécoms. Idem dans l’IoT. Qui plus est, le paradigme de l’innovation supplante celui de la sécurisation : «la volonté des industriels de faire la course aux parts de marché ne fait qu’entretenir cette situation dangereuse, regrette Jean-Claude Tapia. Priorité au time-to-market ! On est dans une course effrénée, qui n’est pas sans rappeler les débuts de l’internet. De toute évidence, il y a un manque manifeste de maîtrise !»
C’est un fait : beaucoup d’objets connectés sont développés très rapidement par de petites structures, qui ne disposent pas forcément ni des compétences, ni des moyens de penser en termes de ‘security by design’. L’IoT est particulièrement sensible, mêlant risques logiques et risques physiques. Il s’agit donc de prendre la sécurité en amont, au moment de l’étude d’opportunité. Et considérer ce qui pourrait arriver, tout ce qui pourrait arriver. C’est là qu’interviennent les expertises d’analyses de risques IoT. Quid, en effet, si le système de freinage de la voiture fait défaut, si le pacemaker ne fonctionne plus…
L’IoT signe la fin de la sécurité technologique. Certes, il faudra toujours des compétences pointues en systèmes, en radio, en réseau… Mais plus seulement. La sécurité est devenue transversale, assure Cédric Mességuer. Il faut pouvoir considérer l’ensemble du cycle de vie du produit : qualité du code, composant hardware, logiciel, protocole de communication et d’authentification, mises à jour, flux de données… Tenir compte, aussi, des usages, mais aussi des aspects légaux. Imaginez une panne impactant directement les revenus, les conséquences d’une attaque en termes de visibilité, en termes d’image ou de responsabilité civile ou pénale… De toute évidence, la surface d’attaque est plus large qu’avant !
«Nous pensons que la protection de ces nouveaux écosystèmes repose sur de nouveaux principes : compréhension des usages, identification des éléments critiques (personnes, données sensibles, infrastructures, environnement.), défense en profondeur, recherche d’un équilibre entre risque et création de valeur, coopération entre les parties prenantes, nouvel équilibre des responsabilités, conduite du changement… Sans oublier que ces évolutions redessinnent les missions et l’organisation de la fonction IT et ses relations avec les métiers et les usagers.»
Réponses en termes holistiques
Les interlocuteurs ne sont donc plus seulement des responsables ICT, mais aussi les responsables digitaux et les responsables métiers. L’IoT est partout dans l’entreprise, comme il sera partout dans notre vie. On estime à plus 50 milliards leur nombre d’ici 2020, soit 7 objets connectés par personne sachant qu’il y aura 7,5 milliards d’habitants sur Terre.
De là, aussi, bien des questions relatives à la protection des données. L’un des premiers enjeux des objets connectés concerne la protection des données personnelles -avec, en ligne de mire, le fameux GDPR, effectif en mai 2018. Comment les données ont-elles été collectées ? Où sont-elles stockées ? L’utilisateur du moteur de recherche ou d’une application est-il conscient de la valeur commerciale de ses données -commerciales, juridiques, voire sentimentales ? A-t-il donné son accord explicite ?
Il s’agit encore de se pencher sur la collecte et la conservation des données -dans quels volumes et combien de temps. Un trop grand volume de données représentera une cible d’autant plus attractive pour les cybercriminels. Il n’est pas exclu, non plus, que ces données soient un jour utilisées pour une finalité différente de celle pour laquelle elles ont été recueillies… Pour déterminer ce niveau de sécurité raisonnable, une étude d’impact serait pertinente. Il s’agira notamment d’évaluer le volume et le caractère sensible des données collectées, ainsi que les coûts prévisionnels des indemnités à verser en cas de failles de sécurité.
Pour Jean-Claude Tapia, il est grand temps de réagir, de prendre le problème à bras le corps. «A l’heure de l’informatique ubiquitaire et de la dissémination des dispositifs informatiques, la réponse de sécurité doit se faire en des termes holistiques… Or, trop peu d’acteurs s’impliquent aujourd’hui concrètement dans le développement de solutions de sécurisation de l’IoT. Les normes, notamment, qui permettraient d’unifier les pratiques de sécurité, font cruellement défaut. Les menaces liées aux objets connectés se développent en plus et ne sont pas encore assez prises en compte.»
Dans l’attente du développement de pratiques de sécurité communes, les acteurs de l’IoT peuvent aujourd’hui faire l’effort d’intégrer et de faire reconnaitre la sécurité implémentée dans leurs solutions connectées, avec l’aide des experts du domaine. Ils prendraient alors sans aucun doute un ascendant commercial sur leurs concurrents.