IoT, Sécurité et RGPD : un challenge complexe

Article paru le 2 janvier 2019 | Partager sur les réseaux sociaux

Classé dans : Newsletter Objets connectés - IOT RGPD

Le palier des 20 milliards d’objets connectés dans le monde sera bientôt dépassé selon le Gartner et l’état des lieux niveau sécurité est inquiétant. Malgré les vulnérabilités connues à ce jour et les lourdes amendes qui pèsent depuis le RGPD, le constat est que les entreprises n’ont pas conscience de la nécessité de sécuriser ces « endpoints »

Sécurité dans l’IoT, une problématique marginale ? L’enquête de Trend Micro, réalisée sur plus de 10 pays, auprès de 1 150 RSSI d’entreprises de plus 500 personnes, montre que la sécurisation de l’IoT reste une problématique marginale. Les contrôles ne sont effectués qu’en amont de la phase d’implémentation s’assurant que les appareils ajoutés aux environnements sont protégés. Ce manque de rigueur s’observe chez 38% des entreprises ayant des projets opérationnels ou en cours de déploiement. Seulement 39% d’entre elles avouent prendre en compte la sécurité une fois la stratégie et les outils en place. L’étude démontre que leurs préoccupations suite à un problème sur l’environnement IoT sont par ordre de priorité.

Une implémentation sur l’ensemble de la chaine L’IoT offre des opportunités aux entreprises pour développer leurs stratégies commerciales. Les données à caractère personnel sont collectées, stockées puis traitées par des objets de notre quotidien.

Avec un accès aux préférences, activités et comportements de chacun, le champ des possibles est infini. Avant d’en arriver là, il faut relever un défi de taille : gérer vertueusement les données tout en garantissant un niveau suffisant de sécurité et de confidentialité.

La mise en conformité constitue un chantier majeur où un manquement est préjudiciable et lourdement dommageable. L’enjeu est d’intégrer à l’ébauche de la conception le « Privacy By Design ».

La démarche n’est pas simple car l’IoT est synonyme de connectivité tentaculaire, multiples traitements et stockages sur plateforme ou cloud. Les mesures pour protéger les données doivent être identifiées pour être déployées sur l’ensemble de la chaîne, des fournisseurs de service, aux opérateurs, en passant par les fabricants d’appareils.

La gestion des objets, un challenge Depuis le RGPD, les entreprises sont confrontées à des questions dont elles n’ont pas forcément la réponse :

• Sur quel continent sont stockées les données ?
• Qui est responsable ?
• Quel réseau de communication utiliser ?
• Quelle méthode d’hébergement choisir ?
• Quel chiffrement est le plus robuste ?
• Comment anonymiser sans ajouter de la complexité ?

Surmonter ces difficultés sans accompagnement d’experts en technologies, management des risques et sécurité ou droit est un chemin semé d’embuches.

Engager un tel projet, implique de comprendre et suivre trois éléments primordiaux :

1. Connaître les vulnérabilités et attaques (ex : Mirai).
2. S’informer des initiatives prises pour combler les failles de sécurité.
3. Adopter les bonnes pratiques, normes et certifications
Il va sans dire qu’il faut les adapter suivant les technologies, méthodes de communication, typologies d’usages et objets en eux même.

La gestion à distance de parc d’objets connectés, le monitoring en temps réel ou l’usage de plateformes IoT As Service sont des perspectives peu connues du grand public, qui peuvent faciliter le déploiement de ces objets tout en étant conforme au RGPD.

Partagez cet article sur les réseaux sociaux