IoT, Sécurité, RGPD, un challenge complexe

 |   |  743  mots
(Crédits : Pixabay)
OPINION. Bientôt le palier des 20 milliards d'objets connectés dans le monde sera dépassé selon le Gartner et l'état des lieux niveau sécurité est inquiétant. Malgré les vulnérabilités connues à ce jour et les lourdes amendes qui pèsent depuis la RGPD, le constat est que les entreprises n'ont pas conscience de la nécessité de sécuriser ces « endpoints ». Par Hicham Benjelloun, Consultant mc2i Groupe.

L'enquête de Trend Micro, réalisée sur plus de 10 pays, auprès de 1.150 RSSI d'entreprises de plus 500 personnes, montre que la sécurisation de l'IoT reste une problématique marginale. Les contrôles ne sont effectués qu'en amont de la phase d'implémentation s'assurant que les appareils ajoutés aux environnements sont protégés.

Ce manque de rigueur s'observe chez 38% des entreprises ayant des projets opérationnels ou en cours de déploiement. Seulement 39% d'entre elles avouent prendre en compte la sécurité une fois la stratégie et les outils en place. L'étude démontre que leurs préoccupations suite à un problème sur l'environnement IoT sont par ordre de priorité :

  • 52% la confiance des consommateurs
  • 49% la perte financière
  • 32% la perte d'informations personnelles identifiables
  • 31% l'amende des autorités
  • 28% l'infraction aux règles en matière de protection des données

Une implémentation sur l'ensemble de la chaine

L'IoT offre des opportunités aux entreprises pour développer leurs stratégies commerciales. Les données à caractère personnel sont collectées, stockées et  traitées par des objets de notre quotidien.

Avec un accès aux préférences, activités et comportements de chacun, le champ des possibles est infini. Avant d'en arriver là, il faut relever un défi de taille : Gérer vertueusement les données tout en garantissant un niveau suffisant de sécurité et de confidentialité.

La mise en conformité constitue un chantier majeur où un manquement est préjudiciable et lourdement dommageable. L'enjeu est d'intégrer à l'ébauche de la conception, le « Privacy By Design ».

La démarche n'est pas simple car l'IoT est synonyme de connectivité tentaculaire, multiples traitements et stockages sur plateforme ou cloud. Les mesures pour protéger les données doivent être identifiées pour être déployées sur l'ensemble de la chaîne, des fournisseurs de service, aux opérateurs, en passant par les fabricants d'appareils.

La gestion des objets, un challenge

Depuis le RGPD, les entreprises sont confrontées à des questions dont elles n'ont pas forcément la réponse :

  • Sur quel continent sont stockées les données ?
  • Qui est responsable ?
  • Quel réseau de communication utiliser ?
  • Quelle méthode d'hébergement choisir ?
  • Quel chiffrement est le plus robuste ?
  • Comment anonymiser sans ajout de complexité ?

Surmonter ces difficultés sans accompagnement d'experts en technologies, management des risques et sécurité ou droit est un chemin semé d'embuches. Engager un tel projet, implique de comprendre et suivre trois éléments primordiaux :

  • Connaître les vulnérabilités et attaques (Ex : Mirai)
  • S'informer des initiatives prises pour combler les failles de sécurité
  • Adopter les bonnes pratiques, normes et certifications

Il va sans dire qu'il faut les adapter suivant les technologies, méthodes de communication, typologies d'usages et objets en eux même.

La gestion à distance de parc d'objets connectés, le monitoring en temps réel ou l'usage de plateformes IoT As Service sont des perspectives peu connues du grand public, qui peuvent faciliter le déploiement de ces objets et être conforme à la RGPD.

La politique de sécurité, un projet à construire

L'élimination complète de tous les risques n'est pas réalisable, il n'existe pas de solution unique. Aujourd'hui, protéger la vie privée et la crédibilité des entreprises, consiste à s'assurer que l'accès aux données est géré.

Se contenter de chiffrer les données n'est pas suffisant. Des moyens complémentaires doivent être déployés pour garantir cette confiance envers les objets connectés. On retrouve notamment :

  • Le déploiement d'outils logiciels et physiques pour détecter et se protéger d'intrusions
  • La mise à jour des OS pour corriger les failles dans le code
  • La réalisation d'audit de sécurité à travers différents tests de pénétration
  • L'obtention d'une certification ISO 27001 auprès de Bureau Veritas Certification
  • La formation et la communication continues
  • L'authentification des équipements sur le réseau par la Blockchain

 Toutes ces solutions commencent à faire leurs preuves, mais il faut garder à l'esprit que la sécurité doit faire partie intégrante du développement des solutions IoT.

___

Sources :

  • https://www.itnation.lu/la-securisation-de-linternet-des-objets-demeure-une-question-marginale-pour-de-nombreuses-societes/
  • http://www.itforbusiness.fr/component/k2/item/10779-la-securite-de-l-iot-n-est-toujours-pas-prioritaire-pour-les-entreprises
  • https://www.trendmicro.com/fr_fr/about/newsroom/press-releases/2017/20170921-etude-trend-micro-reglement-europeen-sur-la-protection-des-donnees-les-entreprises-francaises-seraient-elles-trop-confiantes-vis-de-leur-conformite-reglementaire.html
  • https://www.i-scoop.eu/internet-of-things-guide/iot-regulation/
  • https://www.orange-business.com/fr/magazine/RGPD-recherche-et-developpement
  • https://www.lesechos.fr/idees-debats/cercle/cercle-183096-le-rgpd-mal-necessaire-dans-le-monde-interdependant-de-liot-2178239.php
  • https://www.objetconnecte.com/blockchain-iot-raison/

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :