IoT, Sécurité, RGPD, un challenge complexe
Hicham Benjelloun
Hicham Benjelloun
L'enquête de Trend Micro, réalisée sur plus de 10 pays, auprès de 1.150 RSSI d'entreprises de plus 500 personnes, montre que la sécurisation de l'IoT reste une problématique marginale. Les contrôles ne sont effectués qu'en amont de la phase d'implémentation s'assurant que les appareils ajoutés aux environnements sont protégés.
Ce manque de rigueur s'observe chez 38% des entreprises ayant des projets opérationnels ou en cours de déploiement. Seulement 39% d'entre elles avouent prendre en compte la sécurité une fois la stratégie et les outils en place. L'étude démontre que leurs préoccupations suite à un problème sur l'environnement IoT sont par ordre de priorité :
L'IoT offre des opportunités aux entreprises pour développer leurs stratégies commerciales. Les données à caractère personnel sont collectées, stockées et traitées par des objets de notre quotidien.
Avec un accès aux préférences, activités et comportements de chacun, le champ des possibles est infini. Avant d'en arriver là, il faut relever un défi de taille : Gérer vertueusement les données tout en garantissant un niveau suffisant de sécurité et de confidentialité.
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

La mise en conformité constitue un chantier majeur où un manquement est préjudiciable et lourdement dommageable. L'enjeu est d'intégrer à l'ébauche de la conception, le « Privacy By Design ».
La démarche n'est pas simple car l'IoT est synonyme de connectivité tentaculaire, multiples traitements et stockages sur plateforme ou cloud. Les mesures pour protéger les données doivent être identifiées pour être déployées sur l'ensemble de la chaîne, des fournisseurs de service, aux opérateurs, en passant par les fabricants d'appareils.
Depuis le RGPD, les entreprises sont confrontées à des questions dont elles n'ont pas forcément la réponse :
Surmonter ces difficultés sans accompagnement d'experts en technologies, management des risques et sécurité ou droit est un chemin semé d'embuches. Engager un tel projet, implique de comprendre et suivre trois éléments primordiaux :
Il va sans dire qu'il faut les adapter suivant les technologies, méthodes de communication, typologies d'usages et objets en eux même.
La gestion à distance de parc d'objets connectés, le monitoring en temps réel ou l'usage de plateformes IoT As Service sont des perspectives peu connues du grand public, qui peuvent faciliter le déploiement de ces objets et être conforme à la RGPD.
L'élimination complète de tous les risques n'est pas réalisable, il n'existe pas de solution unique. Aujourd'hui, protéger la vie privée et la crédibilité des entreprises, consiste à s'assurer que l'accès aux données est géré.
Se contenter de chiffrer les données n'est pas suffisant. Des moyens complémentaires doivent être déployés pour garantir cette confiance envers les objets connectés. On retrouve notamment :
Toutes ces solutions commencent à faire leurs preuves, mais il faut garder à l'esprit que la sécurité doit faire partie intégrante du développement des solutions IoT.
___
Sources :
Hicham Benjelloun