Les vulnérabilités de l’Internet des Objets font régulièrement la Une. Avec l’explosion annoncée des usages des objets connectés, les risques doivent s’envisager à très grande échelle et en termes d’enjeux stratégiques. Développeurs, time-to-market, utilisateurs…  actuellement, les responsabilités sont partagées.

securite-objets-connectes_une

Avant de chercher pourquoi la sécurité des objets connectés et des systèmes embarqués est un grand sujet de préoccupation, et pas uniquement pour les DSI, il faut avancer quelques évaluations chiffrées sur l’explosion de ce phénomène à court terme.

Les objets connectés : un enjeu stratégique d’ici 3 ans

securite-objets-atkerney

Selon les analyses, il y aura d’ici 3 ans entre 50 à 100 milliards d’objets connectés en usage. Santé, énergie, transport,  banque et assurance, domotique, administration, électroménager… aucun secteur ne devrait échapper à cette déferlante. Et le marché global, devrait peser plusieurs centaines de milliards de dollars en 2020. À lui seul, le marché de la santé connectée pourrait représenter 21,5 milliards de dollars d’ici 2018, soit 10 fois plus qu’en 2013, selon les estimations Deloitte. D’ici 2020 en France, selon une étude A.T Kerney/Institut Montaigne, les répercussions sur l’économie française pourraient atteindre 3,6% de PIB à échéance et environ 7% en 2025.

L’enjeu n’est donc pas que technologique. Il est économique et plus globalement stratégique. Pour certains secteurs comme la santé, l’énergie ou la mobilité, l’Internet des Objets représentent aussi, et avant tout, un enjeu pour la sécurité des personnes.

securite-secteur-atkerney

Les points faibles des objets connectés

Parce que le phénomène est encore émergeant, les failles des objets connectés sont nombreuses et rendent difficile la sécurisation de toute la chaîne comme l’explique Jean-Claude Tapia.

« Plutôt que d’objets connectés, on parle d’écosystèmes d’objets connectés. L’objet, s’il contient des données à protéger, s’intègre la plupart du temps dans une chaine de valeur complexe qui implique une vision de la sécurité  technologique (nombreux systèmes d’exploitation et protocoles de communication) et fonctionnelle, c’est-à-dire qui tienne compte des usages, des menaces, des comportements, des processus de pilotage et opérationnels » Jean-Claude Tapia, Président de Digital Security

 

Conception et production

Ces phases sont les points de départ de la faiblesse des objets connectés. Beaucoup d’entre eux sont développés, et très rapidement par de petites structures. Elles ne disposent pas forcément des compétences, ni des moyens  de penser en termes de ‘’Security by design’’, de réseau et pour l’ensemble du cycle de vie du produit : qualité du code, composant hardware, logiciel, protocole de communication et d’authentification, mises à jour, flux de données, usages.

Côté fabrication, Florian Maleski de Dell Security évoque « une activité de production frénétique » qui éloigne les industriels des précautions indispensables à une sécurité  optimale. Cet engouement tous azimuts pour l’IoT et l’impitoyable Time-to-Market fragilisent donc en amont la sécurité des dispositifs connectés. C’est vrai pour le marché de la grande consommation mais aussi pour le maillon professionnel.

Les déploiements IoT en entreprise

Ils se doivent d’être de plus en plus rapides pour répondre à des critères de compétitivité. Ce besoin de réactivité et les contraintes de coûts entrainent souvent l’impasse sur les tests qualité des applications et sur l’adéquation de l’infrastructure avec les enjeux de l’Internet des Objets. 2/3 des organisations exploitant l’IoT n’ont pas de politique de test adaptée à ces technologies selon une enquête commanditée par Hewlett Packard.

La responsabilité des utilisateurs finaux

La responsabilité des utilisateurs finaux quant aux circuits de leurs données est aussi pointée du doigt. Leur manque de connaissances et aussi de vigilance quant à leur mot de passe et à l’utilisation de leurs données personnelles n’encouragent pas constructeurs et intermédiaires à améliorer leurs processus et à être plus transparents sur l’exploitation de ces données et les risques encourus.

Sources : Digital For All Now, Le Figaro, L’Expansion/Express, ATKerney, JDN, CIO-Online,

‘’IoT : 50 milliards de failles connectées en 2020’’

C’est le thème d’un atelier organisé par Econocom Digital Security aux Assises de la Sécurité et des Systèmes d’information le jeudi 6 octobre à Monaco, de 11h à 11h45.

Cet atelier présentera les risques et les menaces de sécurité associés à l’IoT, basé sur les premiers retours d’expériences des early adopters, ainsi que les démarches et les solutions.

Digital Security et Exaprobe du groupe Econocom seront présents pendant toute la durée des Assises de la Sécurité et des systèmes d’information, du mercredi 5 au vendredi 8 octobre prochains, au Grimaldi Forum.