L'Internet des Objets (IoT) est promis à un grand avenir, mais encore loin d'être mature. Ses acteurs affichent leurs faiblesses coté sécurité des données de leurs clients. L'IoT repose sur deux composants d'infrastructure : l'objet connecté et la plateforme avec laquelle il communique. C'est également ce qui fait sa richesse, à partir de son appareil l'utilisateur transmet au fournisseur des informations qui vont alimenter et enrichir sa base de données. Des données qui sont précieuses car elles vont être la source d'une meilleure connaissance du client, de la personnalisation de la relation avec lui, et maximiser sa valeur unique tout au long de sa vie. C'est toute la valeur de la chaine du cycle de vie de la relation client qui est à revoir et qui va s'enrichir. Mais dans les faits, aujourd'hui la sécurité des données du client de l'Internet des Objets est le maillon faible. Concentrés sur la conception de leurs produits innovants, leurs concepteurs n'ont pas porté à la sécurité l'attention qu'elle mérite.

L'audit désastreux des sites IoT !

L'OTA (Online Trust Alliance), association sur la confiance des acteurs de l'Internet marchand, réalise chaque année un audit des risques de sécurité de plus de 1000 sites, dont des banques, des administrations, des réseaux sociaux, des médias, ainsi que des sites IoT. Les résultats de son septième audit annuel affichent une défaillance de 45 % des sites sur une catégorie d'audit, ou plus. Chez les acteurs de l'IoT qui ont fait l'objet de l'audit, le taux d'échec explose à 76 % ! Il n'y a guère que les médias à faire pire, avec un taux d'échec de 80 % ! Notons que l'évaluation du risque la plus faible – 38 % - est portée par les réseaux sociaux. Il faut rappeler qu'en collectant des informations en provenance directe de l'utilisateur, les acteurs de l'IoT ont accès et manipulent des données hautement critiques et confidentielles, ce qui place leur client dans une situation à risque.

Le cadre sécurité IoT de l'OTA

L'alliance OTA a défini avec ses membres un cadre visant l'adoption de règles qui portent sur la sécurité, la vie privée et les meilleures pratiques de développement durable dès la conception des objets connectés et 'wearables'. Le volet 'client' de ce cadre repose sur une série de questions détectées chez les consommateurs, que le fabricant comme le développeur sont invités à prendre en compte, et dont tous les acteurs de l'IoT devraient s'inspirer dans la conception de leurs produits et services :
  • Est-ce que le fabricant de mon appareil et/ou le fournisseur de mon service ont une politique de confidentialité qui respecte mes données personnelles et ma vie privée ?
  • Suis-je opt-in ou opt-out, et quel sera l'impact des fonctionnalités ?
  • Est-ce que le fabricant et le développeur de l'application suivent le cycle de vie de la sécurité de leur solution (SDL ou Security Development Lifecycle) ?
  • Mes données sont-elles protégées quand mon appareil est au repos ou en transit ?
  • Est-ce que mon appareil dispose d'une politique de support, y compris en fin de vie ?
  • Comment mon appareil sera mis à niveau pour corriger des vulnérabilités de sécurité ? Comment serai-je informé ?
  • Comment mes données peuvent être supprimées si l'appareil est perdu, volé ou vendu ?
  • Comment puis-je comparer les pratiques de sécurité et de confidentialité dans le cadre de ma décision d'achat ?
  • Quel est le risque que mes données de santé et de forme physique personnelles puissent être ré-identifiées ?