50 milliards d'objets connectés, et moi, et moi, et moi… Voici 9 questions sécuritaires à se poser avant de se lancer dans l'Internet des Objets.
L'Internet des Objets (IoT pour
Internet of Things) séduit les entreprises. Les dispositifs connectés sont partout, ou le seront, de la montre connectée à l'automobile, des détecteurs de fumée aux étiquettes intelligentes dans les entrepôts. Nous serons bientôt, en 2020 selon Cisco, entourés de 50 milliards d'objets connectés. C'est pourquoi les entreprises s'interrogent, et si elles hésitent aujourd'hui, ce n'est que pour mieux franchir le pas demain.
Dans son rapport «
Internet of Things: Risk and Value Considerations », l'ISACA – association qui réunit 115.000 industriels de l'électronique présents dans 180 pays - s'est interrogée sur le potentiel transformationnel, mais également perturbateur du phénomène, sur sa capacité à générer de la valeur comme sur les dérives qu'il peut engendrer. En découlent 9 questions sécuritaires à se poser avant d'envisager un déploiement de l'IoT.
9 questions à se poser sur la sécurité des objets connectés
- Comment l'objet connecté sera-t-il utilisé d'un point de vue business ? Quels sont les processus qui sont supportés et quelle valeur l'entreprise peut-elle en tirer ?
- Quel sont les menaces contextuelles pour l'objet connecté ? Quelles menaces peuvent être anticipées et comment en réduire les effets ?
- Qui aura accès à l'objet connecté et comment son identité peut-elle être établie et éprouvée ?
- Quel est le processus de mise à jour de l'objet connecté dans le cas d'une attaque publiée ou d'une vulnérabilité ?
- Qui est responsable de la surveillance (monitoring) contre de nouvelles attaques ou vulnérabilités relatives à l'objet connecté ? Comment cette surveillance est-elle effectuée ?
- Tous les scénarios de risques ont-ils été évalués et comparés afin d'anticiper combien ils peuvent peser sur la valeur de l'entreprise ?
- Quelles informations personnelles sont collectées, stockées ou traités par les objets connectés et les systèmes IoT ?
- Les individus sur qui les renseignements personnels sont collectées savent-ils que leurs informations sont recueillies et utilisées ? Ont-ils donné leur consentement à de telles utilisations et collections ?
- Avec qui les données seront-elles partagées / divulguées?
Faire ou ne pas faire ?
A partir du questionnement précédant, l'ICASA offre une série de conseils sur le modèle faire/ne pas faire :
- Faire
- Préparer un modèle de menace.
- Évaluer la valeur de l'entreprise.
- Evaluer holistiquement et gérer les risques.
- Balancer entre risques et bénéfices.
- Informer toutes les parties prenantes de l'utilisation prévue.
- Collaborer avec les équipes commerciales dès le début.
- Rassembler toutes les parties prenantes pour s'assurer de leur engagement et d'une planification minutieuse.
- Rechercher des points d'intégration avec la sécurité existante et la protection opérationnelles.
- Examiner et documenter l'information qui est recueillie et transmise par des objets connectés pour analyser les impacts possibles sur la vie privée.
- Discuter avec les parties concernées sur quand, comment et avec qui cette information sera partagée, et dans quelles circonstances.
- Ne pas faire
- Déployer rapidement sans consulter l'entreprise ou d'autres parties prenantes.
- Ne pas respecter les exigences de la politique existante, telles que la sécurité et la vie privée.
- Ignorer les mandats réglementaires.
- Ne pas s'assurer que vos fournisseurs (matériel, logiciel, middleware, etc.) ont pris en compte vos exigences spécifiques en matière notamment d'usage ou de sécurité.
- Mépriser les dispositif d'attaque ou les vulnérabilités spécifiques.
- Ne pas prendre en considération la confidentialité ou 'cacher' les données qui sont recueillies / transmises par les utilisateurs finaux.