Une nouvelle série de piratages et d'infractions a révélé la vulnérabilité de l'Internet des Objets. Prenons par exemple, la violation du système de paiement du distributeur anglais Target, en 2013 dernier. C'est de loin le plus grand piratage de données dans l'histoire du secteur de la distribution aux États-Unis : 40 millions de numéros de cartes de crédit ont été volés. Le plus incroyable dans cette cyber-attaque est que les pirates ont eu accès au serveur central de Target par le biais des systèmes de chauffage, de ventilation et d'air conditionné. Cela montre clairement que les menaces qui pèsent sur la sécurité de l'Internet des Objets s'appliquent indistinctement aux appareils clients connectés ou aux systèmes industriels.

Les pertes liées aux cyber-attaques peuvent frapper très durement les entreprises. Suite à cette attaque, les ventes de la société Target ont chuté de plus de 46% ; et si le gouvernement juge l'entreprise coupable de ne pas s'être pliée aux standards de sécurité, la compagnie anglaise devra payer une amende pouvant aller de 350 millions à un milliard d'euros.
Autre exemple : Chris Valasek et Mathew Solnik, deux chercheurs spécialisés dans le domaine de la sécurité, ont démontré aux fabricants d'automobile comment les pirates pouvaient accéder au moteur ou au volant d'une voiture connectée, et pouvaient ensuite saboter les roues ou même éteindre le moteur. Bien qu'il faille avoir accès au véhicule pour réaliser ces expériences, la possibilité d'une attaque à distance n'est pas aussi farfelue qu'on ne pourrait le croire.

26 milliards d'objets connectés d'ici 2020

Alors que l'on prévoit l'arrivée de 26 milliards d'objets connectés d'ici 2020, le risque croissant de ces attaques pourrait mettre en danger les opportunités qui émergent autour de l'IoT. Notre récente étude montre que 71% des entreprises qui offrent des objets connectés considèrent que la sécurité influence l'acte d'achat d'un objet connecté. Une sécurisation des objets connectés peu fiable et des politiques de confidentialité qui manquent de maturité.
Encore plus inquiétant, seules 33% des entreprises que nous avons interrogées considèrent que les objets connectés sont résilients à de potentielles cyber-attaques.

Les entreprises n'informent pas assez les consommateurs sur l'utilisation des données

La confidentialité des données est également une préoccupation majeure pour les consommateurs. Sur les 100 start-up et les entreprises analysées, 47% d'entre elles n'apportent aucune information à leur client en matière de confidentialité des données. Et même quand elles le font, il est rare que ces organisations proposent à leurs clients de contrôler la collecte et le partage de leurs données. Seules 10% des entreprises mettent à disposition des clauses de participation et d'exemption de la collecte et du partage de donnée. Une autre omission dans la politique de confidentialité est le manque d'information sur la façon dont les données personnelles sont utilisées une fois le service terminé. L'étude révèle que seules 13% des entreprises apportent cette information à leurs clients.
Pourtant, il y a quelques exceptions. Automatic, une start-up qui offre des dispositifs télématiques pour des voitures connectées, informe ses clients qu'elle supprime les données des bases clients de façon discrétionnaire, une fois le service terminé. Autre exemple : Fitbit fait savoir à ses clients que le stockage de données est stoppé une fois le contrat arrivé à échéance. De telles informations permettent aux clients de prendre la décision d'opter ou non pour ce service en toute connaissance de cause.

Mettre la sécurité au cœur du développement de l'Internet des Objets

De nombreuses entreprises préfèrent donner la priorité à la mise sur le marché de leurs produits IoT plutôt qu'à leur sécurisation. Seules 48% des entreprises se focalisent sur la sécurité dès le début de la phase de développement du produit. Ajoutons à cela que seules 36% d'entre elles s'efforcent de modifier le processus de développement afin de se concentrer davantage sur la sécurité dès les premières étapes de la conception du produit. La sécurité des objets connectés doit être conçue et pensée dès le tout début du développement du produit et non à la dernière étape du lancement. Il est essentiel de faire de la sécurité des objets connectés un élément fondamental de leur valeur.
Mettre en place une équipe composée de dirigeants d'entreprise et de spécialistes de la sécurité
Les chefs de produits et les spécialistes de la sécurité doivent travailler ensemble afin de planifier leur feuille de route et définir les caractéristiques et les fonctionnalités du produit. Pour ce faire, les organisations doivent mettre en place une équipe intégrée, consacrée au développement des solutions IoT, comprenant des représentants business et des spécialistes de la sécurité. Ainsi, les considérations business et sécuritaires seront bien équilibrées.

Intégrer les bonnes pratiques dans le processus de développement

Intégrer les bonnes pratiques durant le processus de développement des produits IoT
Intégrer les caractéristiques de la sécurité durant les 4 phases de la conception d'une solution IoT : la conception, le codage, le test et l'évaluation.
- Une conception sécurisée
Les mécanismes de sécurité doivent être définis et implantés pendant la phase de conception du produit. Les entreprises doivent également porter attention à l'implantation de mécanismes cryptographiques.

- La sécurisation du codage
Un nombre important de vulnérabilités du logiciel peuvent être résolus si les entreprises sécurisent les normes de codage et intégrent les bonnes pratiques. Des mécanismes spécifiques, comme le brouillage du codage peuvent être implantés afin de prévenir l'ingénierie inverse du code source.
- Des essais rigoureux
Les solutions IoT doivent être soumises à de rigoureux tests de sécurité, dont des applications de tests fonctionnels ou d'intrusion, aussi bien pour des composantes logicielles que matérielles.

- Une évaluation de la sécurité
Comme dernière étape, les entreprises doivent faire la liaison avec les entreprises tierces spécialisées dans la sécurité pour bénéficier de l'ITSEF (un laboratoire agréé dans l'évaluation de sécurité) afin de s'assurer que ces produits passent une évaluation formelle de sécurité, comme Common Criteria. Seule une évaluation provenant d'un laboratoire certifié peut permettre à une entreprise d'obtenir un certificat international de sécurité pour ses solutions IoT.

Intégrer la sécurité pour prendre la tête de cette révolution

Malgré des preuves de plus en plus nombreuses de l'impact matériel des cyber-attaques, les entreprises n'ont pas encore pris la mesure des menaces exponentielles liées à la sécurité. Avant de concevoir un produit IoT, les entreprises doivent placer la sécurité de l'Internet des Objets au même rang que les spécificités et les fonctionnalités de leurs solutions. Alors que l'économie mondiale se bat pour échapper à la stagnation et au ralentissement de la croissance, l'Internet des Objets est une grande opportunité pour les entreprises désireuses d'arriver à des niveaux accrus d'efficacité grâce à des services et produits innovants. Aujourd'hui, il est clair que les entreprises qui ont compris et identifié l'impératif de sécurité seront celles qui prendront la tête de la nouvelle révolution de l'Internet des Objets.