1. Identifier les risques véritables
La cybersécurité pour les entreprises a longtemps consisté à protéger ses infrastructures. Mais avec l’IoT, elle ne porte plus seulement sur l’information mais sur le contrôle des actions pilotées par les objets connectés. Le « détournement » de ces fonctions peut avoir des conséquences graves pour l’entreprise ou la collectivité qui les a mises en place. Un exemple ? En juillet 2015, le groupe Fiat Chrysler Automobiles a été contraint de rappeler 1,4 million de véhicules aux Etats-Unis pour effectuer une mise à jour de leurs systèmes informatiques embarqués : 2 chercheurs en sécurité avaient piraté un modèle de véhicule connecté.
2. Quantifier les risques
Tout risque n’est pas forcément à anticiper : il faut définir le rapport bénéfice-risque pour juger de ce qui sera « acceptable ». Lorsque de nombreux capteurs sont déployés à des fins de collecte d’information, pour établir des statistiques par exemple, on peut décider que l’altération des données transmises par un seul capteur n’a pas d’impact majeur. En revanche, si ces mêmes capteurs servent à piloter des actions concrètes, il faudra évaluer le coût d’une attaque, la perte potentielle associée pour l’entreprise et l’investissement nécessaire pour l’éviter afin de décider ou non de sécuriser la solution. Mais attention à ne pas sous-estimer la sécurisation. « Avec l’IoT, la sécurité industrielle devient un enjeu clé : elle permet de garantir la qualité et le délai de production. Si bien que revendiquer un haut niveau de sécurisation devient une valeur ajoutée, un critère de différenciation pour l’entreprise qui peut « vendre » la sécurité à ses clients » explique Benoît Lemaire, Responsable sécurité IoT chez Orange Cyberdefense.
3. Combiner les compétences et les expertises
Chaque solution IoT est spécifique et unique. Pour identifier les risques, il est nécessaire de recourir à des experts, des « hackers éthiques » et des consultants qui envisageront d’abord tous les risques théoriques. En adoptant une démarche similaire à celle des pirates, un hacker éthique tentera toutes les cyberattaques possibles : capter l’information transmise, s’attaquer physiquement à un capteur pour altérer ses composants ou comprendre comment en prendre le contrôle... Le consultant quant à lui pourra évaluer les conséquences de chaque type d’attaque sur les données et leur confidentialité ou toutes les conséquences potentielles (dégradation de la production, arrêt de l’activité, risque financier et risque d’image…). L’entreprise aura ainsi en sa possession tous les éléments pour prendre une décision et définir sa politique.
4. Définir une politique de sécurité
Lorsqu’un risque est identifié, l’entreprise peut avoir 2 postures différentes :
- apporter une réponse technique, en protégeant la solution IoT pour supprimer le risque,
- apporter une réponse légale, en se déchargeant de toute responsabilité.
Dans les conditions générales d’utilisation ou les mentions légales de certains services, il est courant de lire des mentions précisant que l’entreprise « ne saurait être tenue responsable en cas de… » préjudice, dommage… Cela permet à l’entreprise d’anticiper le risque de piratage en se dédouanant des conséquences éventuelles sur les clients.
Imaginons par exemple une société de livraison qui, en « traçant » en temps réel ses véhicules grâce à des GPS connectés peut ainsi communiquer à ses clients le temps restant avant une livraison via un intranet. Elle pourra choisir de sécuriser l’ensemble de la solution et s’engager sur une information communiquée à tout moment en temps réel. Un engagement dont le coût de sécurisation sera reporté sur les tarifs. À l’inverse, elle pourra présenter ce service d’information comme un « plus » pour le client et se décharger de toute responsabilité en cas d’indisponibilité de l’information.
Pour aller plus loin
>> Objets connectés et data : un filon pour l'innovation
>> Tous concernés par la cybersécurité