Le CES 2019 de Las Vegas a une nouvelle fois montré l’appétence des éditeurs pour les objets connectés. Malgré ce fort intérêt à nouveau non-démenti, la question de la sécurisation de l’IoT demeure. Pour limiter les risques, l’Europe va mettre en place de nouvelles procédures de certification des matériels connectés. Explications.
Les prévisions sont claires. Le marché de l’Internet des objets devrait continuer de connaître une croissance importante. La dernière mise à jour du rapport d’IDC sur le sujet anticipe des dépenses en hausse de 15,4% cette année. Cela représente une valeur globale de 745 milliards de dollars.
Plusieurs secteurs clés comme l’industrie d’assemblage (opérations de fabrication et de gestion des actifs de production), de transformation ou bien encore les marchés des transports (contrôle du fret et à la gestion de la flotte) sont concernés. De même, les services publics (réseaux intelligents d’électricité, gaz et eau) consacreront une partie de leurs dépenses à ce volet. De nombreuses applications sont ainsi appelées à se développer. Surtout dans le business aéroportuaire, les recharges des véhicules électriques, la surveillance des champs agricoles ou la télémédecine assistée.
« Tous n’ont pas encore compris que la sécurité était devenue core business »
Si cette croissance de la sécurisation de l’IoT est appelée à se maintenir, il n’en demeure pas moins que des problématiques inhérentes à la sécurité de l’Internet des objets, tel que le botnet Mirai, continueront d’attirer la vigilance des entreprises. C’est pourquoi les représentants des institutions européennes se sont mis d’accord pour mettre en place une certification des objets connectés.
Intensifier les contrôles
Lors des dernières négociations, l’Europe a certes affirmé qu’elle ne comptait pas rendre ces certifications obligatoires pour l’ensemble des objets connectés. Au contraire, une solution médiane visant à intensifier les contrôles sur les produits arrimés aux réseaux critiques a émergé des débats parlementaires de l’Union européenne. Toujours est-il qu’une liste d’objets connectés devant être certifiés sera finalisée à l’horizon 2023.
Malgré cette frilosité relative des institutions communautaires, la question de la sécurisation et de la certification des objets connectés reste importante estime Didier Perrot, PDG d’inWebo, éditeur français de solutions sécurisées de contrôle d’accès, dont certains services sont certifiés par l’ANSSI (Agence nationale de la sécurité des systèmes d’information). « Nous allons vivre une phase de fort intérêt autour de ces technologies, en particulier en ce qui concerne les moyens de sécurisation des communications des smartphones. Pourtant, tous n’ont pas encore compris que la sécurité était devenue core business et qu’il est nécessaire que cela soit certifié, en particulier dans des domaines clés comme ceux de la mobilité à la demande, de l’accès physique ou de l’enregistrement (s’authentifier et valider une réservation d’une salle dans un espace de coworking, par exemple) », nous explique le dirigeant.
Eviter les failles de sécurité dès la conception
Par nature, aucun objet connecté n’est infaillible et peut donc être ciblé par le biais d’une faille de sécurité. Malgré ce paradigme, certaines start-ups tentent de changer la donne et développent des solutions viables. La société Prove & Run par exemple édite un logiciel léger à même d’être intégré dans un équipement connecté. Le service fonctionne à l’image d’un système d’exploitation uniquement doté de moyens de protection et de défense. Ce dernier est autonome et peut être lié à un réseau ou tout autre objet connecté mobile. Une solution efficace mais dont la généralisation demeure complexe, c’est pourquoi le principe de la certification suscite un intérêt chez les éditeurs.
Pour Oodrive, il demeure en effet impératif de trouver des réponses aux questions liées à la sécurité des objets connectés. La société considère qu’il serait pertinent de mettre en place un label de confiance européen. L’idée est de permettre de déterminer dans quelle menace il est possible ou non d’accorder sa confiance envers un produit. Le tout étant d’établir des procédés clairs permettant d’élaborer des produits dans une logique dite de « security by design ».
Un mouvement relayé en partie par le biais du règlement européen E-Privacy. Il demande aux Etats de faire en sorte que les services numériques soient plus sûrs et suscitent davantage de confiance. Le texte englobe de facto tout équipement connecté directement ou indirectement à l’interface d’un réseau public de télécommunications. Celui-ci doit transmettre, traiter ou recevoir des informations.
Les gouvernements attendus de pied ferme sur la sécurisation de l’IoT
La dernière étude conduite par Gemalto en janvier 2019 apporte de nouveaux éclairages quant aux besoins des professionnels. Les entreprises y souhaitent (pour 80% des personnes sondées) que les instances de régulation fournissent des « directives plus solides ». En particulier en matière de sécurité des produits IoT.
Le signal est donc évident en direction des instances communautaires. C’est pourquoi l’Europe entend mettre sur pied un guichet unique conduisant à procéder à la certification de certains équipements connectés. La solution présentera comme intérêt pour les entreprises de leur éviter de s’adresser à différentes autorités situées dans les différents pays depuis lesquelles elles opèrent.
La sécurisation de l’IoT unique permettrait alors d’encourager les sociétés à investir dans la cybersécurité de leurs produits. Et de facto leur procurer un avantage compétitif. De quoi relancer les investissements dans un secteur promis à un bel avenir.
Le sujet est particulièrement suivi par l’organisation professionnelle TECH IN France. cette dernière analyse les mouvements majeurs de la tech et assemble professionnels et analystes du secteur au travers d’événements majeurs, webinars et groupe de travail sur la cybersécurité.
Olivier Robillart