Les objets connectés ont souvent été épinglés pour leurs défauts en matière de sécurité. Pourtant, l’écosystème de l’IoT a plus que jamais besoin d’installer la confiance, alors que son développement s’accélère. Et depuis 2016, la donne change petit à petit.
A lire aussi : L’urgence de la sécurisation de nos vies numériques, rencontre avec Olivier Beaudet
Mirai, dont le code source est publié par ses créateurs à cette époque et mis à disposition des hackers du monde entier, a la particularité de scanner les vulnérabilités des objets connectés pour les enrôler de force et utiliser leurs puissances informatiques respectives, limitées unitairement mais conséquente une fois additionnées, pour mener ses attaques. Et ce sont en particulier les routeurs internet des particuliers ou encore les caméras connectées servant à la vidéosurveillance, qui se retrouvent ainsi mis à contribution d’ambitions criminelles, contre le gré de leurs propriétaires.
Ces évènements mettent en évidence ce que de nombreux spécialistes savent déjà : l’IoT (Internet of Things, « l’internet des objets », NDLR) est le plus souvent synonyme de passoire en termes de sécurité. Le développement extrêmement rapide des marchés qui lui sont liés dans les années 2010, alors que tous les objets du quotidien deviennent progressivement connectés, ne s’est pas embarrassé des bonnes pratiques du « security by design » qui sont vues comme une source d’augmentation des coûts et surtout les délais de conception des produits. En effet, pour les fabricants, la prime à la nouveauté et celle obtenue en étant les premiers sur un marché, sont bien trop importantes : les risques liés à la réputation sont donc une préoccupation pour le futur… Et la zone grise réglementaire concernant les responsabilités achève de marginaliser le sujet. L’argument du « quel intérêt pour un hacker de pirater mon objet connecté individuel ? » fait aussi mouche auprès du grand public, avide d’innovations. Mais comme l’a prouvé Mirai, il n’est pas seulement question de sécurité individuelle : ses propres objets peuvent être utilisés pour nuire à quelqu’un d’autre, à l’autre bout de la planète.
Quelques années plus tard, les conséquences de cette euphorie initiale se font cruellement sentir. Outre les impacts ressentis d’attaques comme celles portées par Mirai à partir de 2016, l’accessibilité des failles de l’IoT marque les esprits : un portail de recherche comme Shodan est régulièrement mis en avant pour montrer à quel point il est facile pour n’importe qui de détecter et localiser un objet connecté au réseau et, par extension, les limites de sa sécurité. C’est ainsi en tout logique que s’installe une défiance grandissante vis-à-vis des objets connectés ; à la limite de la schizophrénie face à la croissance du secteur. Dès 2018, une étude menée par OpiniumResearch auprès de 10 000 personnes dans le monde montre que l’IoT intimide et n’inspire pas confiance, que ce soit pour sa présence dans les véhicules, les habitations ou dans la santé. L’enquête met en exergue qu’au-delà de la problématique de la sécurité, c’est une crainte générale concernant le manque de fiabilité et de performance des outils qui contribue au malaise.
Pourtant, la confiance est un élément central nécessaire au bon développement de l’économie, en particulier quand le numérique s’impose de plus en plus dans l’équation. D’autant que l’IoT s’installe aussi durablement dans l’environnement des écosystèmes BtoB complexes, impliquants de nombreux partenaires différentes jusqu’à l’utilisateur final, comme dans le cas de la voiture connectée. A la clé, ce sont de plus en plus de données qui sont récoltées et analysées, à tous les niveaux de la chaine de valeur.
Les fabricants ont aujourd’hui une meilleure perception de la problématique. Une enquête menée par PwC Luxembourg dans la prolongation de la prise de conscience Mirai, a mis en avant qu’environ les deux tiers des acteurs avaient mis en œuvre des évaluations de sécurité de leurs offres. Au programme, ce sont autant des analyses techniques qu’un effort sur la formation de leur salarié qui ont pu être menés. De manière générale, la sécurité de l’IoT doit en effet couvrir un spectre assez large de pratiques : de la sécurisation des capteurs eux-mêmes et de leur fonctionnement jusqu’à la sécurisation des accès, en passant par la protection des données stockées et en transit.
Dans un avis d’expert consacré au sujet, Arnaud Le Hung, Senior Channel Account Manager, France & Iberia de BlackBerry résume l’enjeu pour 2023 : « Il y a actuellement plus de 30 milliards de dispositifs IoT utilisés dans le monde entier, et nous devons dissiper le mythe selon lequel les menaces proviennent toujours de l’extérieur. […] La façon dont les données sont créées, collectées et communiquées est en train de changer : chaque objet connecté a désormais sa propre adresse IP. Étant donné que le réseau massif d’objets connectés nécessite une interopérabilité entre les systèmes, les entreprises doivent sensibiliser les employés au fait que l’IoT introduit des risques sans précédent autant pour la sécurité que pour le respect de la vie privée. Les employés des administrations et des entreprises doivent se rendre compte que des acteurs malveillants peuvent désormais accéder à des données à partir de n’importe quel appareil, n’importe où et en temps réel. »
Selon une étude IDC réalisée pour Kyndryl en décembre 2022, le passage à l’échelle de l’IoT dans les entreprises françaises est pour l’heure limité, et seules 20 % d’entre elles ont déployé plusieurs projets. Mais 86% des entreprises ont cependant entamé une démarche IoT et près d’une sur deux prévoient d’étendre ces démarches avec une hausse de budget dans les deux ans. Les cas d’usages concernent avant tout la gestion des stocks et des inventaires (57% des déploiements), l’optimisation des chaines de production (48%) ou encore la traçabilité des composants (48%). « Les capteurs sont la face émergée de l’iceberg » note en parallèle de cette étude, Nicolas Sekkaki, General Manager de la practice mondiale Application, data & AI de Kyndryl. Il souligne que les efforts à mener sont globaux : « Le passage à l’échelle des démarches IoT nécessite une approche industrielle et holistique : network & edge, data & IA, gestion du cloud hybride et cyber-résilience, sans oublier le co-design. Il est ainsi essentiel d’intégrer l’ensemble des parties prenantes dans les cycles d’innovation et de décision pour réussir les déploiements et l’impact métier dans la durée ».
Cependant, c’est aussi l’exigence des consommateurs qui permettra de faire changer la donne et de progressivement gérer plus de confiance. Le site officiel Cybermalveillance.fr liste ainsi 10 pratiques à mettre en œuvre en tant qu’utilisateurs, parmi lesquelles une attention portée sur les mises à jour des équipements, les changement des mots de passe ou encore le paramétrage des solutions. L’agence nationale de la sécurité des systèmes d’information (Anssi) a également publié son propre guide de recommandations. Des pratiques qui peuvent permettre d’accompagner en particulier les entreprises et leurs salariés.
A ce titre, Arnaud Le Hung donne quelques conseils : « un moyen efficace de promouvoir la sensibilisation aux vulnérabilités de l’IoT est d’informer les employés de leurs responsabilités dès le premier jour. D’ailleurs, l’adaptation des processus et des politiques de cybersécurité dans le cadre de l’intégration dans l’entreprise est une bonne méthode pour éduquer les utilisateurs. En plus des programmes de formation réguliers et obligatoires que tous les employés devraient suivre, l’organisation d’exercices de cybersécurité tels que des simulations de gestion de crise peut sensibiliser, préparer et finalement réduire les impacts des événements critiques. Enfin, les entreprises doivent veiller à ce que la formation à la sécurité IoT soit ciblée et facile. Partager des détails non pertinents et déroutants sur les menaces des vulnérabilités IoT peut être contre-productif. Les communications doivent rester simples, concises et faciles à comprendre, car tous les employés ne sont pas des experts IT. » Il met en garde par ailleurs sur la rencontre entre deux phénomènes : la croissance du télétravail et l’utilisation de plus en plus importantes de domotiques et de plateformes IoT au domicile, ce qui fera apparaître dans les mois et années à venir des nouvelles interactions et problématiques de sécurité et de confiance en milieu professionnel.
Dans les années à venir, l’Union Européenne pourrait aussi de son côté faire profondément bouger les lignes. Son Cyber Resilience Act a en effet, en première intention, retenu les objectifs les plus ambitieux de son projet de travail, pour inclure largement toute forme d’objets connectés dans ces nouvelles exigences de sécurité. Sans cibler directement l’IoT en tant que tel, le dispositif réglementaire vise bien en premier lieu à renforcer la confiance dans une économie de produits et de services numériques dont les usages et les conséquences de long termes préoccupent de plus en plus les citoyens de l’UE.
Votre adresse e-mail ne sera pas publiée.
Média sur la transformation numérique des entreprises, engagé en faveur du « Plus forts ensemble », Alliancy sélectionne pour vous les témoignages et les retours d’expériences de femmes et d’hommes actifs dans une dynamique d’innovation. Vision stratégique, gouvernance et modes d’organisation, utilisation de la donnée, enrichissement et animation d’écosystèmes (innovation, ressources humaines, systèmes d’information, finances et achats…), cloud, sécurité et pilotage du SI… Nous nous intéressons à ces différents leviers de la transformation pour qu’ils s’invitent peu à peu dans votre quotidien. Stimulez votre curiosité, gagnez du temps et identifiez les clés de la réussite de votre entreprise.
ISSN 2727-5264
LES DOSSIERS WEB
LA NEWSLETTER ALLIANCY
NOUS CONTACTER
DEVENIR ANNONCEUR
PARTENAIRES
POLITIQUE DE PROTECTION DE VOS DONNÉES
INFORMATIONS LÉGALES
CGV
Les cookies nécessaires sont absolument essentiels au bon fonctionnement du site Web. Ces cookies assurent les fonctionnalités de base et les fonctions de sécurité du site Web, de manière anonyme.
Les cookies fonctionnels aident à exécuter certaines fonctionnalités telles que le partage du contenu du site Web sur les plates-formes de médias sociaux, la collecte de commentaires et d’autres fonctionnalités tierces.
| Cookie | Durée | Description |
|---|---|---|
| mautic_device_id | 1 year |
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour soutenir nos activités de marketing. Ce cookie permet de connaître l’appareil avec lequel le visiteur accède au site. Expiration du cookie au bout d’un an. |
| mautic_referer_id | 30 minutes |
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie permet de connaître l’origine du visiteur. |
| mtc_id | session |
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID au visiteur du site web dans le but de le reconnaître. Expiration du cookie à la fin de la session |
| mtc_sid | session |
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site. Ce cookie donne un ID à la session du visiteur du site, afin de la reconnaître. Expiration du cookie à la fin de la session |
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour soutenir nos activités de marketing.
Ce cookie permet de connaître l’appareil avec lequel le visiteur accède au site. Expiration du cookie au bout d’un an.
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie permet de connaître l’origine du visiteur.
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie donne un ID au visiteur du site web dans le but de le reconnaître. Expiration du cookie à la fin de la session
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie donne un ID à la session du visiteur du site, afin de la reconnaître. Expiration du cookie à la fin de la session
Les cookies de performance recueillent des informations sur l’utilisation de nos sites web afin d’améliorer leur attractivité, leur contenu et leur fonctionnalité. Ces cookies nous aident, par exemple, à déterminer quelles pages secondaires de notre site sont visitées et quel type de contenu intéresse nos lecteurs.
| Cookie | Durée | Description |
|---|---|---|
| YSC | session |
Ce cookie est un cookie de Youtube qui enregistre un identifiant unique pour conserver des statistiques sur les vidéos de YouTube que l’utilisateur a vues. |
| _first_pageview | 10 minutes |
Ce cookie de session est créé lors du premier affichage de page pour chaque visite. Sa finalité est de permettre de n’afficher certains éléments du code que lors du premier affichage de la page, et rendre le site ainsi plus rapide. |
| _gat | 1 minute |
Ce cookie est un cookie de Google Analytics permettant de limiter la cadence des requêtes. Il est valide pendant 24 heures après la date de la session. |
Ce cookie est un cookie de Youtube qui enregistre un identifiant unique pour conserver des statistiques sur les vidéos de YouTube que l’utilisateur a vues.
Ce cookie de session est créé lors du premier affichage de page pour chaque visite. Sa finalité est de permettre de n’afficher certains éléments du code que lors du premier affichage de la page, et rendre le site ainsi plus rapide.
Ce cookie est un cookie de Google Analytics permettant de limiter la cadence des requêtes. Il est valide pendant 24 heures après la date de la session.
Les cookies analytiques sont utilisés pour comprendre comment les visiteurs interagissent avec le site Web. Ces cookies aident à fournir des informations sur les mesures du nombre de visiteurs, du taux de rebond, de la source du trafic, etc.
Les cookies publicitaires sont utilisés pour proposer au visiteurs des publicités personnalisées selon votre parcours sur notre site.
| Cookie | Durée | Description |
|---|---|---|
| IDE | 1 year 24 days | Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile. |
| NID | 6 months | This cookie is used to a profile based on user’s interest and display personalized ads to the users. |
| VISITOR_INFO1_LIVE | 5 months 27 days | This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website. |
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
| Cookie | Durée | Description |
|---|---|---|
| ARRAffinitySameSite | session | No description |
| attribution_user_id | 1 year | No description |
| cg_uuid | 1 year |
Sets a unique ID for the visitor, that allows third party advertisers to target the visitor with relevant advertisement. This pairing service is provided by third party advertisement hubs, which facilitates real-time bidding for advertisers. |
| cilSessionId_e6aa0e1dbf | 1 day | No description |
| cilSessionId_efcc418067 | 1 day | No description |
| cilSessionId_ffd7baf9a1 | 1 day | No description |
| cookielawinfo-checkbox-others | 1 year | No description |
| PagePeeker | No description | |
| recs_17b347eba0c893c4ff49a469be629e65 | past | No description |
| scid | past | No description |
| sdx | past | No description |
| su_sdx | past | No description |
| su_sid | past | No description |
| su_user_id | past | No description |
| thirdparty | 1 hour | No description |
| ubpv | 6 months 1 day | No description |
| ubrs | No description | |
| ubvs | 5 months 27 days | No description |
| ubvt | 3 days | No description |
| UID | 2 years | No description |
Sets a unique ID for the visitor, that allows third party advertisers to target the visitor with relevant advertisement. This pairing service is provided by third party advertisement hubs, which facilitates real-time bidding for advertisers.
