DIGITAL SOLUTIONS
Prendre la mesure des risques liés à l’IoT
Pour clôturer la semaine de la cybersécurité, le 19 octobre, Excellium Services évoquait les nouveaux risques liés à la multiplication des objets connectés. En la matière, il est plus que jamais nécessaire que l’écosystème des acteurs digitaux se mobilisent pour garantir la sécurité de tous.
October 29, 2018
La semaine de la cybersécurité méritait bien que l’on s’attarde sur les nouveaux enjeux soulevés par le développement de l’Internet des Objets (IoT) en matière de sécurité et de protection de la vie privée. C’est la société Excellium Services, vendredi 19 octobre, qui a consacré une journée entière à ces problématiques. « Pour profiter des opportunités liées à l’IoT, les entreprises doivent ouvrir leurs systèmes vers l’extérieur, permettre des connexions depuis l’extérieur à divers applicatifs, faire remonter des données venues de nombreux capteurs, commente Christophe Bianco, fondateur et managing partner d’Excellium Services. Dans cet environnement, tout le monde devient une cible mais peut aussi être vecteur d’une attaque vers d’autres systèmes. »
Notre vie privée scrutée comme jamais
« Qu’on le veuille ou non, ces objets connectés vont se multiplier, poursuit Christophe Bianco. Nous sommes hyper-connectés, à notre rythme cardiaque via notre montre intelligente, à notre maison, à notre voiture. Cela implique la création de nombreuses données, qui transitent par une multitude d’acteurs. » En matière de protection des données, l’utilisation croissante des objets connectés doit s’accompagner d’une prise de conscience. « Mais que dire quand des jeunes pensent que, sur Snapchat, le contenu s’efface effectivement après avoir été visionné ? Il est évident que, pour beaucoup d’applications, des traces des données que vous laissez sont conservées quelque part et qu’elles peuvent être utilisées à divers fins. »
De nouveaux acteurs s’immiscent dans nos vies
Les utilisateurs, en adoptant des objets connectés, ne sont pas suffisamment conscients de la manière avec laquelle ils exposent leur vie privée au monde. « Quand vous installez ce genre de matériel dans votre domicile, c’est comme si vous invitiez un étranger chez vous. Or, en dehors du monde digital, combien proposerait à la première personne croisée dans la rue d’entrer chez soi, de manger à sa table et même de s’installer durablement dans son domicile ? Avec les objets connectés, c’est ce qu’on fait sans réfléchir. Et on est souvent même prêt à payer pour cela », poursuit le co-fondateur d’Excellium. Dans ce contexte, peut-on se sentir vraiment en sécurité ?
Votre grille-pain est-il sécurisé ?
Aujourd’hui, tout est connecté. Un thermomètre, un frigo ou encore un toaster capable d’imprimer la météo sur votre pain. « Il est peu probable que, pour tous ces objets bon marché, des ingénieurs aient passé beaucoup de temps pour s’assurer qu’ils soient sécurisés. Et pour peu qu’une faille de sécurité soit dévoilée, on ne voit pas bien comment l’utilisateur va trouver une interface pour mettre à jour son grille-pain, ajoute Christophe Bianco. Or, potentiellement, tous ces objets peuvent être facilement détournés à des fins malveillantes. » Le fondateur d’Excellium, pour illustrer les risques, évoquait l’attaque volumétrique dont a été victime l’hébergeur OVH, vers qui avait été dirigé 1,5 Téra de trafic au départ de caméras IP infectées. « Si une attaque de cette ampleur est orientée vers le Luxembourg, le pays disparait de la carte, purement et simplement. »
L’entreprise doit prendre conscience des enjeux
A l’échelle de l’entreprise, les enjeux sont tout aussi critiques. La surface d’exposition à la menace augmente avec la multiplication des objets connectés. Or, beaucoup aujourd’hui peinent déjà à se doter des ressources suffisantes pour faire face aux risques croissants de cyber-incidents. « Dans un environnement qui n’est pas ou peu connecté, sécuriser est déjà compliqué. Alors, dans un environnement ouvert, c’est un défi considérable », assure le spécialiste en cybersécurité, qui souligne que les boards, en consacrant en moyenne 15 minutes par an à ces enjeux, ne prennent pas suffisamment la mesure du risque. « Dans ce contexte, dès lors, les régulateurs, avec GDPR ou encore la directive NIS, imposent de nouvelles mesures, forçant les entreprises à investir dans le domaine », poursuit-il. Quand on sait que, demain, ce sont des villes, des immeubles entiers ou encore des voitures circulant sur la route qui intégreront une multitude d’éléments connectés, il est essentiel d’éveiller les consciences, de trouver les moyens de sécuriser des chaînes de valeur de bout en bout, en s’assurant que les parties prenantes, devices, environnements systèmes et applications constitutifs de tout écosystème connecté intègrent les exigences suffisantes de protection, que les développements envisagés soient sécurisés « by design ».