Un rapport du Ponemon Institute pour le compte de Santa Fe Group sonne l’alarme : les fuites de données vont se multiplier à cause d’objets connectés, mais aussi d’applications, pas ou peu sécurisés.
Les fuites de données dont l’origine se trouve dans une mauvaise conception d’objets connectés et d’applications ont fortement augmenté depuis 2017. Selon la troisième édition de cette étude du Ponemon Institute, elles sont passées de 15 à 26 %.
Et ce pourcentage ne reflète certainement pas la réalité, car « la plupart des organisations ne disposent pas d’une vue exhaustive de tous les dispositifs ou applications non sécurisés présents dans leur environnement ou chez les fournisseurs tiers », estime le Santa Fe Group.
Il n’est donc pas surprenant que plus de 80 % des décideurs ayant participé à cette étude du Ponemon Institute estiment que leurs données seront divulguées au cours des 24 prochains mois…
IoT industriel
Ce constat a de quoi inquiéter, car ce marché devrait passer de 79,0 milliards de dollars l’an passé à 189,2 milliards de dollars en 2023, avec un taux de croissance annuel composé (CAGR) de 19,1 % au cours de la période de prévision.
Selon les estimations des analystes, plus de 20 milliards d'objets seront connectés à Internet d'ici 2020. Bien que la majorité se trouvera dans les maisons, l'usage professionnel en représentera plus de huit milliards.
Les principaux facteurs de croissance du secteur professionnel seront la multiplication des appareils connectés dans l'industrie et le transport selon le rapport « Internet of Things (IoT) Professional Services Market » de Markets and Markets.
Malgré ces prévisions, la plupart des organisations interrogées par le Ponemon Institute ne centralisent toujours pas la gestion des risques liés à l'IoT. Pire, seulement 21 % d'entre elles sont très engagées dans des politiques de sécurité et comprennent les enjeux.
Cette enquête montre qu'il existe un écart entre « la gestion proactive et réactive des risques. Il est temps d'aborder cette question maintenant et non plus tard", déclarent les experts du Santa Fe Group.
Dans la réalité, la prise de conscience et la mise en place d’une réelle politique sont limitées. Le Ponemon Institute constate que :
- Les effectifs et les budgets ne sont pas suffisants pour gérer les risques liés à l'IoT interne ou développé par des tiers ;
- Les programmes de gestion des risques par des tiers incluent rarement ceux liés à l’IoT ;
- L'évaluation des risques liés aux objets connectés par des audits n’est pas généralisée.
Encore une fois, le RGPD fera peut-être bouger les lignes. L’Article 28-1 du règlement européen précise que lorsqu’un « traitement doit être effectué pour le compte d’un responsable du traitement (en l’occurrence l’entreprise, NDLR), celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».
La multiplication des fuites de données et des attaques de ransomware visant l’IoT inciteront peut être les organisations à intégrer ces risques dans leur politique de sécurité.
Source : Ponemon.com