2 mai 2017
La confiance est la clé de l'explosion des ventes des objets connectés. Pour que les consommateurs adhèrent à une utilisation massive de ces nouvelles technologies, la question de la sécurité doit être au cœur de toutes les stratégies.
François Gatineau, expert IoT chez Talan, revient sur la nécessité d'intégrer la sécurité dans toutes les étapes du projet.
Les récentes attaques d'OVH et de Dyn, largement relayées par les médias, ont confirmé une prise de conscience de plus en plus prégnante chez les utilisateurs : les objets connectés présentent de grandes failles de sécurité. Analyse du trafic, écoute passive ou active, action malveillante d'interception, de manipulation ou de blocage des communications, prise de contrôle à distance d'un dispositif physique… Les attaques sont diverses et obligent les experts à être encore plus créatifs pour les anticiper et les contrer.
Penser la sécurité dès le début et de façon globale
Un des premiers réflexes à acquérir est celui de penser la sécurité dès la conception de l'objet (security by design). Lors de l'arrivée d'internet, l'accès à l'information a été perçu comme exceptionnel, entraînant une adhésion immédiate et massive des consommateurs. Les questions de sécurité ne sont arrivées qu'après et la violence des attaques (vols de données, usurpation d'identité…) ont nourri la réticence des utilisateurs vis-à-vis des objets connectés. Pour obtenir leur confiance, il est donc nécessaire de prendre en compte la sécurité de leurs données et le respect de leur vie privée dès le début (privacy by design).
La question de la sécurité doit également être abordée de façon globale et traitée de bout en bout sur la chaîne de valeur. S'il n'y a pas de jointures entre la plateforme serveur et l'application, même si elles sont toutes les deux sécurisées, tout le système peut être fragilisé.
De bonnes pratiques à adopter
Afin d'étudier plus finement la donnée et d'éviter les failles de sécurité, il est nécessaire d'adopter de bonnes méthodes. Dans la plupart des projets, les données sont stockées en masse alors qu'une infime partie d'entre elles seront finalement étudiées. Il est indispensable de démarrer par une véritable réflexion sur les finalités du projet, en se positionnant du point de vue de l'utilisateur final, et donc de se demander ce dont on a vraiment besoin plutôt que de se précipiter pour récolter massivement de la donnée en temps réel. Cela permettra d'éviter les fuites de certaines données confidentielles et vraisemblablement non-utiles pour analyser des données plus qualitatives.
Même s'il est difficile d'assurer une sécurité totale, car les codes source sont développés par des êtres humains, il y a des fondamentaux à respecter, comme prohiber dans la partie hardware d'un objet connecté la mise à disponibilité d'un login et d'un mot de passe en dur et lisible dans le code embarqué. Ces fondamentaux sont indispensables à prendre en compte dès le début du projet en mode gestion de risques. L'objectif est d'éliminer les incidents majeurs qui pourraient être générés par la suite.
Enfin, pour ne pas être pris au dépourvu, il faut accepter que la vérité d'aujourd'hui ne sera pas celle de demain. Les besoins utilisateurs évoluent très rapidement, les nouvelles technologies aussi, entraînant une formation continue dans les métiers de la sécurité. Il faut se former, apprendre, pratiquer et se nourrir de retours d'expérience pour contrer et anticiper au mieux les futures attaques.
Cultiver le culte de la transparence
Un des gros enjeux des entreprises reste la transparence envers le consommateur. Si les informations lui paraissent opaques, il ne se sentira pas en confiance pour adopter l'objet connecté. Même si l'utilisation des données personnelles est entrée dans les mœurs, l'utilisateur doit se sentir libre et rassuré sur le respect de sa vie privée. L'anonymisation des données est un moyen de regagner la confiance des individus. D'autant que la GDPR, General Data Protection Regulation, nouveau règlement européen qui s'appliquera dès 2018 à tout organisme qui collecte, traite et stocke des données personnelles dont l'utilisation peut directement ou indirectement identifier une personne, accompagne ce souhait des utilisateurs.