Avant la fin de l'année, 2 entreprises sur 5 auront adopté l'Internet des Objets. Mais avant de franchir le pas, assurez-vous de vous poser les bonnes questions.
Le rapport « Internet of Things: Risk and Value Considerations » de l'ISACA confirme l'engouement des entreprises pour l'Internet des Objets (IoT pour Internet of Things). 2 entreprises sur sur 5 ont déjà adopté l'IoT ou affirment qu'elles vont le faire avant la fin de l'année. Et l'explosion attendue du marché des montres connectées, des wearables (lire « Wearables, DSI retenez ce nom ! »), des voitures connectées, etc., ne va qu'accélérer le phénomène.
Mais dans le même temps, le constat est sans appel, les organisation adoptent l'IoT sans mesurer réellement les risques qu'elles encourent et le vecteur d'attaques potentielles qui ouvre des brèches béantes dans leur système d'information...
9 questions avant de se lancer
L'ISACA (Information Systems Audit and Control Association), association aux 115.000 membres industriels, a publié dans son rapport 9 questions que la DSI devrait se poser avant de poursuivre les initiatives de son organisation dans le déploiement de projets IoT.
1. Comment le dispositif sera utilisé du point de vue de l'entreprise ? Quels processus business seront pris en charge et quelle valeur l'entreprise devra générer ?
2. Quel est le contexte de la menace qui pèse sur l'appareil connecté ? Quelles menaces sont anticipées et comment vont-elles être atténuées ?
3. Qui aura accès à l'appareil connecté et comment leur identité sera établie et éprouvée ?
4. Quel est le processus pour mettre à jour l'appareil connecté en cas d'attaque publiée ou de vulnérabilité ? (rappelons qu'a minima 60 % des interruptions sont le fait d'erreurs humaines)
5. Qui est responsable de la surveillance des nouvelles attaques ou vulnérabilités relatives à l'appareil connecté ? Comment va-il effectuer cette surveillance ?
6. Tous les scénarios de risques ont-ils été évalués et comparés à la valeur que l'entreprise en attend ?
7. Quelles informations personnelles sont collectées, stockées ou traitées par les dispositifs et systèmes IoT ? (7 utilisateurs sur 10 se disent très préoccupés par l'impact de l'IoT sur leur vie privée)
8. Les individus dont les renseignements personnels sont collectées savent-il que leurs informations sont recueillies et utilisées ? Ont-ils donné leur consentement pour de telles collections et utilisations ?
9. Avec qui les données seront elles partagées et/ou divulguées ?
Les premières réponses
L'ISACA va plus loin et propose quelques réponses à son questionnaire sous la forme Do/Don't, faire et ne pas faire :
> L'association conseille de :
- Préparer un modèle de menace.
- Évaluer la valeur commerciale.
- Evaluer et gérer les risques de manière holistique.
- Comparer risques et récompenses.
- Informer toutes les parties prenantes de l'utilisation prévue.
- Collaborer avec les équipes commerciales dès le début.
- Rassembler toutes les parties prenantes pour assurer un engagement et une planification minutieuse.
- Rechercher des points d'intégration avec la sécurité existante et les protections opérationnelles.
- Examiner et documenter l'information qui est recueillie et transmise par des dispositifs permettant d'analyser les impacts possibles de la vie privée.
- Discuter avec les parties concernées quand, comment et avec qui cette information sera partagée et dans quelles circonstances.
> L'association déconseille de :
- Déployer rapidement sans consulter le business ou d'autres parties prenantes.
- Ne pas respecter les règles existantes, telles que la sécurité et la vie privée.
- Ignorer les mandats réglementaires.
- Croire que les fournisseurs (matériel, logiciel, middleware ou tout autre) ont pensé à vos usages particuliers ou à vos exigences en matière de sécurité notamment.
- Mépriser les attaques ou vulnérabilités qui peuvent être spécifiquement associées à l'appareil connecté.
- Ne pas prendre en considération la confidentialité ou de "cacher" des données qui sont recueillies ou transmises aux utilisateurs finaux.
