Sécurité des objets connectés : Interview de Florence Bonnet, dirigeante de CIL Consulting.

Florence BONNET

Florence BONNET

 

CIL CONSULTING est une société de conseil qui accompagne les entreprises dans la mise en conformité des projets innovants et des systèmes d’information traitant de données personnelles, tant vis-à-vis de la loi française et des recommandations de la CNIL que vis-à-vis de la réglementation européenne de protection des données.

CIL CONSULTING est codirigée par Florence Bonnet et Philippe Besançon. C’est l’alliance de professionnels expérimentés du droit, de l’IT et de la sécurité des systèmes d’information qui ont une connaissance pratique de l’entreprise et de l’écosystème des start-up.
CIL CONSULTING propose diverses prestations :
-Formation,
-Audit de la conformité et de la sécurité des traitements de données,
-Etudes d’impacts sur la vie privée et Privacy By Design,
-Correspondant Informatique et Libertés (CIL ou Data Protection Officer).
-Accompagnement sur des projets de certification et de labélisation.

Les objets connectés sont-ils, comme les ordinateurs ou les informations stockées en cloud, menacés de piratage ?

Un objet connecté est ni plus ni moins qu’un support comprenant un système d’information et de communication connecté à internet. A ce titre les objets connectés peuvent avoir des vulnérabilités susceptibles d’être exploitées par des menaces.
Mais les objets connectés ont aussi la double particularité de traiter d’une multitude d’informations relatives aux personnes concernant notamment leur localisation, leurs habitudes, leurs préférences, leur état de santé et d’être constitués d’un grand nombre de capteurs et de systèmes interconnectés entre eux. A terme chaque foyer devrait abriter de 50 à 100 objets connectés.
Les objets connectés connaissent une croissance exponentielle ce qui ne fera que démultiplier et accélérer les possibilités d’intrusion dans les systèmes, d’attaques et de compromission des objets.

Comment se pirate un objet connecté ?

Comme pour n’importe quel système d’information, l’exploitation des vulnérabilités de l’internet des objets (ex. attaque de proxy, accès et/ou transmissions mal protégés) peut aboutir à la réalisation d’évènements redoutés plus ou moins graves et vraisemblables pour les utilisateurs. A ce sujet il peut s‘agir du vol ou de la modification des données relatives aux personnes (ex. perte d’un droit, usurpation d’identité, dommage financier), de la modification du traitement en vue de leur nuire (ex. dommage physique) ou de l’utilisation détournée des informations personnelles (ex. risques de discrimination, d’exclusion sociale).
Déjà en 2012 des hackers avaient piraté une pompe à insuline et un pacemaker connectés.
Plus récemment des chercheurs ont découvert un « botnet » capable d’infecter divers objets tels que les thermostats intelligents afin d’en prendre le contrôle et de lancer une attaque par déni de services (DDoS).

Quels sont les meilleurs moyens de défenses à l’heure actuelle ?

Commencer par évaluer les risques liés au traitement de données par les objets connectés.
Mettre en place des mesures de sécurité préventives. Prévoir des mesures de détection et de gestion d’incident de sécurité susceptible d’impacter la vie privée et les libertés des personnes. La sécurité est un point essentiel d’une démarche de protection des données qui comprend par ailleurs des mesures juridiques et organisationnelles. En effet tout traitement de données personnelles doit respecter un certain nombre de principes obligatoires tout au long du cycle de vie des données, de leur collecte à leur destruction en passant par leur utilisation.
Il peut s’agir de mesures de sécurité logique telles que, à titre d’exemple des solutions d’authentification, de traçabilité et de chiffrement, de mesures organisationnelles telles que la gestion des habilitations et des privilèges ou de mesures d’encadrement des relations contractuelles avec les différents acteurs impliqués.
Le projet de règlement européen de protection des données qui devrait être adopté en 2015 prévoit en outre de rendre obligatoire les études d’impact sur la vie privée et le « Privacy By Design ». Il s’agit d’implémenter les principes de protection des données et de la vie privée dans la conception des objets, ce qui inclut notamment d’intégrer la sécurité par défaut et d’avoir une approche transparente et « user centric ».
Accessoirement, ce projet prévoit aussi de fortes sanctions (100 M € ?) en cas de violation de ses dispositions.

Les objets connectés sont-ils assez protégés ?

A l’évidence non. L’internet des objets se caractérise par une multiplicité d’acteurs non organisés, généralement des start-up qui ne sont pas sensibilisées à cette problématique, qui n’ont pas les ressources internes nécessaires pour les traiter et qui sont prises dans une course à l’innovation. Or et à tort, la protection des données est perçue comme un frein au business. Sur ce point, les grands acteurs des TIC ont certainement un vrai rôle à jouer auprès des start-up.

Pour conclure, quel serait votre mot de la fin pour nos lecteurs ?

Soyez proactifs et transparents.
La protection des données constitue à la fois un enjeu de conformité pour les entreprises et un enjeu éthique de société.
C’est aussi un facteur de valorisation; « Privacy is good for business ».
Cela permet de limiter le risque d’une remise en cause d’objets qui ne seraient pas conformes aux lois et standards en cours de développement.
Enfin et c’est par là que je terminerai, c’est surtout une question de confiance sans laquelle il ne pourra y avoir d’adhésion massive du grand public à l’internet des objets.

Propos recueillis par Laurent Amar

Partagez !

HelpDSI, le rse des dsi

HelpDSI, le rse des dsi

Newsletter

Inscrivez-vous à notre newsletter.

Etude de cas

Etude de cas

Notre Partenaire DSI