Peut-on comparer la sécurité des objets connectés et celle des systèmes informatiques classiques ?
Concernant la sécurité des systèmes d'information dit "classiques", on peut dire que c'est un sujet assez bien connu des professionnels et que les normes et standards ainsi que les outils et services de sécurité sont assez largement disponibles. Bien sûr, il faut toujours rester vigilant pour que la sécurité soit effectivement mise en place. Aborder la sécurité des objets connectés est une chose différente, car le sujet est nouveau. Selon moi, le niveau de sécurité des objets connectés est globalement encore trop en retrait, car, sauf à quelques exceptions, les acteurs du domaine sont encore trop peu sensibilisés ou impliqués sur les enjeux liés à la sécurité.
Tous les objets connectés sont-ils logés à la même enseigne sur le plan de la sécurité ?
Non, ils ne sont pas égaux. La réponse dépend de la taille de l'organisation ou de la personne qui va acquérir et déployer, ou encore concevoir un objet connecté. Les grandes entreprises, administrations ou constructeurs, s’ils le décident, sont en mesure de sécuriser des objets connectés, car ils en ont les compétences et les moyens. Les choses sont différentes pour les personnes qui vont acheter un objet connecté pour elles-mêmes ou pour un proche. Alors qu’il existe des labels attestant de la qualité d'un bien de consommation courant (labels NF ou CE, ...) il n'existe actuellement aucun "label sécurité" reconnu par tous pour les objets connectés.
Le manque de réglementation spécifique sur la sécurité des objets connectés laisse le champ à trop de liberté pour les fournisseurs d'objets peu soucieux de ce sujet. Vont donc se retrouver sur le marché des objets d'un niveau de sécurité tout à fait correct, mais aussi à côté des objets présentant des failles de sécurité très classiques, par exemple des mots de passe par défaut et identiques pour tous les objets d’un même constructeur.
Les normes, standards et la réglementation sont-elles l'unique manière d'adresser le sujet de la sécurité des IoT ?
Les normes, standards et réglementations sont de bons éléments de réponse, car ils permettent de poser des bases communes avec lesquelles il serait possible de mieux intégrer la sécurité dans les objets connectés. En regardant de plus près la chaine de valeur des objets connectés, on constate qu’il est possible de la découper en 3 segments : l'objet lui-même, sa connectivité réseau et la plateforme à laquelle l'objet se connecte.
Pour la connectivité réseau et la plateforme, nous sommes dans un domaine assez classique qui est celui de l'informatique "classique", il est donc tout à fait possible d'utiliser ce que l'industrie connait déjà pour les sécuriser. Pour les objets eux-mêmes, les normes et standards dans le domaine ne sont pas encore définis. C'est là que les guides de bonnes pratiques comme proposés par GSMA, par exemple, deviennent particulièrement utiles. Dans tous les cas, il est essentiel que les exigences ou des recommandations soient librement consultables, ce pour créer de la confiance entre acteurs et utilisateurs.
Quelles recommandations peux-tu adresser aux entreprises qui proposent ou utilisent des objets connectés ?
Je leur recommande de ne pas attendre de disposer de normes, standards ou de réglementations pour définir des chartes de bonnes pratiques, des guides et des outils destinés à leurs équipes projet. L’objectif étant d’intégrer dans leurs activités les enjeux liés à la sécurité et à la protection de la vie privée.
Je leur conseille d'expliquer à leurs clients de quelle façon leurs données sont protégées. La sécurité des objets connectés doit être vue pour les entreprises comme une réelle opportunité de se différencier. Dans tous les cas, les fondamentaux en sécurité, par exemple l'absence de mots de passe par défaut, doivent être respectés.
Lors de l'acquisition ou de l'installation d'objets connectés, il est nécessaire d'aborder le sujet sécurité avec son fournisseur ou son installateur et de se demander comment le système réponds aux besoins de sécurité : ce qui est évident pour certains ne l'est souvent pas pour d'autres.
Propos recueillis par Jean-François AUDENARD
Pour aller plus loin
Orange Cyberdefense protège vos essentiels
La boîte à outil du SOC : de la détection à la gestion des incidents
[Infographie] Baromètre Cybersécurité 2017 : où en est l’industrie française ?
Le CyberSOC, un centre opérationnel pour la détection d'incidents de sécurité
Computer Emergency Response Team : qu'est ce qui fait l'efficacité d'un CERT ?
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens