BFM Business

La sécurité des objets connectés laisse un peu trop à désirer

L’opérateur télécoms AT&T a enregistré une hausse de 458% des failles de sécurité informatique dans les objets connectés au cours des deux dernières années.

L’opérateur télécoms AT&T a enregistré une hausse de 458% des failles de sécurité informatique dans les objets connectés au cours des deux dernières années. - Pixabay

"Dépourvus de sécurité informatique efficace, la majorité des objets connectés peuvent être piratés. Les fabricants mesurent mal les risques auxquels ils exposent leurs consommateurs. Des menaces qui peuvent aller jusqu’à mettre leurs vies en danger."

Voitures, pacemakers, pompes à insuline, serrures, caméras, jouets… tous les objets du quotidien, personnels et professionnels, sont progressivement connectés à Internet et sont donc potentiellement vulnérables. A l’horizon 2020, ce sont d'ailleurs plusieurs dizaines de milliards d’objets qui seront connectés. Problème, à mesure que les objets connectés prolifèrent, les mises en lumière de leurs vulnérabilités se multiplient. Très clairement, la sécurité de ces objets laisse à désirer. Au banc des accusés: les fabricants.

Une certaine inconscience des fabricants

Selon une étude sur l’état de la sécurité des objets connectés, réalisée par l’opérateur télécoms AT&T et publiée en octobre 2015, seuls 10% des PDG interrogés estiment que leurs objets connectés sont totalement sécurisés. Autrement dit, la majorité d’entre-eux reconnait implicitement que leurs équipements ne sont pas fiables. "Aujourd’hui, en 2016, alors le grand public est conscient des enjeux de cybersécurité et des risques liés à la cybercriminalité, une majorité de fabricants ne se sont toujours pas décidés à sécuriser leurs équipements", constate Chadi Hantouche, Manager au sein de la practice Risk Management et Sécurité de l'information de Solucom.

Selon l’expert, trois raisons expliquent ce manque d’implication: le surcoût lié à la sécurisation des produits, le time-to-market et l’inconscience des fabricants. "Certains fournisseurs pensent encore que leurs objets sont invulnérables. Il ne prennent pas la mesure des risques potentiels liés à la non sécurisation de leurs produits", regrette l’expert.

Anticiper les risques et sécuriser les produits dès leur conception

Certes le risque zéro n’existe pas. Dès lors, les experts de la cybersécurité assurent qu’il faut anticiper les risques et les vulnérabilités des objets connectés plutôt que de tenter d’aboutir à des systèmes inviolables. Les fabricants doivent ainsi intégrer la sécurité dans leurs produits au moment de leur conception. "Surtout ils doivent développer des produits qui puissent être mis à jour à distance", rappelle Chadi Hantouche de Solucom.

"Les constructeurs doivent notamment protéger leurs objets connectés grâce à des mécanismes d’authentification, précise Reda Gomery, analyste chez Deloitte, pour qui, par ailleurs, tester et certifier régulièrement ces produits est essentiel".

Le rôle majeur des régulateurs

En complément des actions plus ou moins volontaires des constructeurs pour sécuriser leurs produits, les organismes de régulation ont également un rôle moteur à jouer dans l’encadrement de la sécurisation de l’Internet des objets. Ainsi, la Cnil qui travaille en collaboration avec ses homologues européennes a d’ores et déjà diffusé à l’attention des acteurs économiques (fabricants d'appareils, développeurs d'applications, plateformes sociales, destinataires ultérieurs des données, plateformes de données et organismes de standardisation) l’avis du G29 sur les objets connectés. La Commission rappelle par ailleurs que "contrairement à une idée reçue les grands principes de loi Informatique et Libertés s’adaptent également aux nouvelles problématiques soulevées par l’internet des objets".

Des produits testés par la Cnil

Enfin, la Cnil dispose d’un laboratoire associé à des compétences techniques où elle teste du matériel et suit les évolutions du marché. C’est dans cette même perspective qu’en juillet 2015 l’agence américaine des produits alimentaires et médicamenteux (FDA) à demandé aux patients utilisant la pompe à insuline commercialisée par Hospirz Symbic de ne plus utiliser ce produit car potentiellement sensible aux cyberattaques.

Eddye Dibar