Il en est de l'Internet des Objets (IoT) comme du Cloud, souvent nous l'utilisons sans le savoir. Cependant, les entreprises qui souhaitent y adhérer prennent des risques, en particulier en se confrontant à des problèmes de sécurité. Voici 9 questions à se poser avant de se lancer.
Nous allons vivre une nouvelle révolution, celle de l'Internet des Objets (IoT pour Internet of Things). Et les entreprises sont au premier rang, puisqu'elles seraient déjà 2 sur 5 à s'être engagées sur cette voie ou à envisager de le faire dans les prochains mois. L'ère de l'IoT est en marche, et son impact sera transformationnel. Mais avant de se lancer, encore faut-il se poser les bonnes questions.
Nous vous proposons 9 questions préalables posées pas l'ISACA (Information Systems Audit and Control Association) destinées aux DSI et aux décideurs qui hésitent avant de poursuivre des initiatives dans l'IoT.
1 – Comment les objets connectés seront-ils utilisés pour le business ?
Voici une première question pour le moins pertinente avant de se lancer : le déploiement de l'IoT sera-t-il porteur de valeur pour l'entreprise ? Avec en substance s'il n'y en à pas, pourquoi prendre ce risque ?
2 – Qui aura accès aux dispositifs IoT ?
Evaluez chaque rôle et chaque fonction afin de vous assurer que son accès est justifié. Etablissez les meilleurs pratiques pour valider leur identité et leur crédibilité.
3 – Avez-vous anticipé les menaces ?
Quels types de menaces allez-vous devoir affronter, et comment pensez-vous les contrer ?
4 – Quels processus de continuité d'activité ?
Sachant que 60 % des interruptions d'activité sont dues à des erreurs humaines ou à des dysfonctionnements matériels ou logiciels, quels processus seront mis en place pour mettre à jours les dispositifs IoT après une interruption ou une attaque ?
5 – Qui va surveiller les nouvelles attaques et vulnérabilités ?
Chaque appareil, équipement ou périphérique IoT doit bénéficier de la surveillance d'un membre compétent de l'équipe.
6 – Avez-vous évalué les scénarios de risque ?
Une nouvelle fois la question de la valeur est posée : quelle sera la valeur business perdue en cas d'incident ?
7 – Quelles sont les données personnelles collectées, stockées ou traitées ?
L'impact des technologies, et en particulier de l'IoT sur leur vie privée est une préoccupation de 7 utilisateurs sur 10. Et l'objet d'une réglementation contraignante et parfois permissive que l'entreprise se doit de connaitre et d'appliquer.
8 – Les utilisateurs sont-ils informés que l'IoT collecte et exploite leurs données ?
Complément de la question précédente, et soumise aux mêmes contraintes, cette question vient rappeler que l'utilisateur doit être informé de ces pratiques et donner son consentement. Sous peine d'exposer la responsabilité de l'entreprise et de son dirigeant.
9 – Les données sont-elles partagées, et avec qui ?
Tout comme pour ses employés, l'entreprise doit tenir à jour la liste des partenaires, fournisseurs, organisations, etc., qui accèdent à des données de votre appareil IoT.
Source : le rapport « Internet of Things: Risk and Value Considerations » publié par l'ISACA
Image d'entête iStock @ Lucy2014