il y a 3 mois -  - 4 minutes

Cybersécurité : bientôt des objets connectés certifiés sans failles de sécurité ?

Le CES 2019 de Las Vegas a une nouvelle fois montré l’appétence des éditeurs pour les objets connectés. Malgré ce fort intérêt à nouveau non-démenti, la question de la sécurisation de l’IoT demeure. Pour limiter les risques, l’Europe va mettre en place de nouvelles procédures de certification des matériels connectés. Explications.

Les prévisions sont claires. Le marché de l’Internet des objets devrait continuer de connaître une croissance importante. La dernière mise à jour du rapport d’IDC sur le sujet anticipe que les dépenses en la matière devraient augmenter de 15,4% cette année, ce qui représente une valeur globale de 745 milliards de dollars.

dog squee GIF

Plusieurs secteurs clés comme l’industrie d’assemblage (opérations de fabrication et de gestion des actifs de production), de transformation ou bien encore les marchés des transports (contrôle du fret et à la gestion de la flotte) ou des services publics (réseaux intelligents d’électricité, gaz et eau) consacreront une partie conséquente de leurs dépenses à ce volet. De nombreuses applications sont ainsi appelées à se développer dans le business aéroportuaire, les systèmes de recharge des véhicules électriques, la surveillance des champs agricoles ou bien encore la télémédecine assistée.

Si cette croissance est appelée à se maintenir, il n’en demeure pas moins que des problématiques inhérentes à la sécurité de l’Internet des objets, tel que le botnet Mirai, continueront d’attirer la vigilance des entreprises. C’est pourquoi les représentants des institutions européennes se sont mis d’accord pour mettre en place une certification des objets connectés.

« Tous n’ont pas encore compris que la sécurité était devenue core business »

Lors des dernières négociations, l’Europe a certes affirmé qu’elle ne comptait pas rendre ces certifications obligatoires pour l’ensemble des objets connectés. Au contraire, une solution médiane visant à intensifier les contrôles sur les produits arrimés aux réseaux critiques a émergé des débats parlementaires de l’Union européenne. Toujours est-il qu’une liste d’objets connectés devant être certifiés sera finalisée à l’horizon 2023.

Malgré cette frilosité relative des institutions communautaires, la question de la sécurisation et de la certification des objets connectés reste importante estime Didier Perrot, PDG d’inWebo, éditeur français de solutions sécurisées de contrôle d’accès, dont certains services sont certifiés par l’ANSSI (Agence nationale de la sécurité des systèmes d’information). « Nous allons vivre une phase de fort intérêt autour de ces technologies, en particulier en ce qui concerne les moyens de sécurisation des communications des smartphones. Pourtant, tous n’ont pas encore compris que la sécurité était devenue core business et qu’il est nécessaire que cela soit certifié, en particulier dans des domaines clés comme ceux de la mobilité à la demande, de l’accès physique ou de l’enregistrement (s’authentifier et valider une réservation d’une salle dans un espace de coworking, par exemple) », nous explique le dirigeant.

Eviter les failles de sécurité dès la conception

Par nature, aucun objet connecté n’est infaillible et peut donc être ciblé par le biais d’une faille de sécurité. Malgré ce paradigme, certaines start-ups tentent de changer la donne et développent des solutions viables. La société Prove & Run par exemple édite un logiciel léger à même d’être intégré dans un équipement connecté. Le service fonctionne à l’image d’un système d’exploitation uniquement doté de moyens de protection et de défense. Ce dernier est autonome et peut être lié à un réseau ou tout autre objet connecté mobile. Une solution efficace mais dont la généralisation demeure complexe, c’est pourquoi le principe de la certification suscite un intérêt chez les éditeurs.

Pour Oodrive, il demeure en effet impératif de trouver des réponses aux questions liées à la sécurité des objets connectés. La société considère qu’il serait pertinent de mettre en place un label de confiance européen pour permettre à tous de déterminer dans quelle menace il est possible ou non d’accorder sa confiance envers un produit. Le tout étant d’établir des procédés clairs permettant d’élaborer des produits dans une logique dite de « security by design ».

Un mouvement relayé en partie par le biais du règlement européen E-Privacy lequel demande aux Etats de faire en sorte que les services numériques soient plus sûrs et suscitent davantage de confiance. Le texte englobe de facto tout équipement connecté directement ou indirectement à l’interface d’un réseau public de télécommunications pour transmettre, traiter ou recevoir des informations.

Les gouvernements sont attendus de pied ferme

La dernière étude conduite par Gemalto en janvier 2019 apporte de nouveaux éclairages quant aux besoins des professionnels. Le document précise que les entreprises souhaitent (pour 80% des personnes sondées) que les instances de régulation (Europe, gouvernements, institutions publiques…) fournissent des « directives plus solides » en matière de sécurité des produits IoT.

Le signal est donc évident en direction des instances communautaires. C’est pourquoi l’Europe entend mettre sur pied un guichet unique conduisant à procéder à la certification de certains équipements connectés. La solution présentera comme intérêt pour les entreprises de leur éviter de s’adresser à différentes autorités situées dans les différents pays depuis lesquelles elles opèrent.

La certification unique permettrait alors d’encourager les sociétés à investir dans la cybersécurité de leurs produits pour de facto leur procurer un avantage compétitif. De quoi relancer les investissements dans un secteur promis à un bel avenir.