348 millions de dollars. C’est le montant que devraient atteindre les dépenses mondiales en matière de sécurisation de l’IoT en 2016, d’après le cabinet d’étude Gartner Inc. C’est 23,7% de plus qu’en 2015 (281,5 millions de dollars). Mercredi 27 avril 2016, le sujet était au cœur des débats au Partech Shaker. Le campus de l’open innovation du IIe arrondissement parisien donnait en effet la parole à plusieurs experts, répondant à l’invitation de Digital Business News. Quels sont les enjeux de la sécurisation dans l’univers de l’IoT ? Quels impacts économiques ? Quelles sont les bonnes pratiques à mettre en place ? Nous y étions !
=> A lire aussi : Jean-Claude Tapia, Digital Security : « La sécurité numérique exige un co-arbitrage impliquant les métiers et l’IT »
- Dimitri Carbonnelle est le fondateur de Livosphère, une start-up spécialisée dans la création, la transformation et le déploiement d’objets connectés. Il fait partie du plan industriel « Objets Connectés» du gouvernement et est également expert Internet des Objets auprès de Bpifrance et de Scientipôle.
- Yassir Kazar, « serial startuper » est le co-fondateur de Yogosha, une plateforme de bug bounty (report de bugs) primée par la bourse French Tech pour l’innovation de Bpifrance.
- Stéphane Petitcolas est expert IT à la Cnil.
« La massification des usages va amener au renforcement de la sécurité »
Dimitri Carbonnelle est catégorique. Dans un contexte où la relation avec le client est de plus en plus directe, un fabricant qui ne peut pas assurer un niveau de sécurité pour ses produits ou services connectés minimal prend d’énormes risques… Mais, à l’heure où la sécurité est encore un poste de dépense conséquent, beaucoup d’entreprises font l’impasse.
Dans certains cas, la perte de données personnelles peut pourtant être extrêmement grave. Le fondateur de Livosphère cite ainsi l’exemple d’une personne diabétique qui perdrait des données précédemment recueillies à l’aide d’un objet connecté : ses analyses globales sont alors biaisées et le patient est potentiellement poussé à prendre un traitement inadéquat.
Autrement dit : dès qu’une entreprise est capable de récupérer des données personnelles, elle peut aussi agir, plus ou moins directement, sur l’utilisateur. C’est particulièrement critique dans le domaine de la santé – faire passer quelqu’un de malade pour bien portant, ou inversement, présente des risques pour les patients – mais aussi dans d’autres secteurs. Dimitri Carbonnelle évoque ainsi Hello Barbie, la poupée mannequin connectée de Mattel : « Imaginons qu’elle soit hackée, comme l’a été l’intelligence artificielle de Microsoft sur Twitter qui, influencée par des trolls, s’est retrouvée à tenir des propos racistes et soutenir des thèses conspirationnistes. On pourrait avoir une Barbie qui donne des messages éducatifs qui ne répondent absolument pas aux attentes des parents. »
« Jusqu’à récemment, poursuit l’expert, les objets connectés étaient réservés à des communautés de bêta-testeurs, des profils curieux, plus tolérants sur les défauts potentiels. Le grand public ne fonctionne pas comme ça. Dans le commerce, il s’attend à trouver un produit conforme à ses attentes : sécurisé, performant, avec une garantie de longévité adéquate. L’innovation n’est pas le premier critère de choix. L’utilisateur doit avoir confiance dans le produit. »
Au final, selon lui, c’est la massification des usages et les éventuelles dérives et crises qui en sortiront, qui vont mener vers une sécurité renforcée.
« Les #hackers ont un rôle fondamental dans la société #digitale que nous construisons » @YassirKazar #objetsconnectes pic.twitter.com/8hZJVUSIdu
— Econocom France (@Econocom_fr) 27 avril 2016
Des hackers « ethiques » pour sécuriser l’IoT ?
Et si la solution se trouvait du côté des pirates du net ? C’est en tout cas l’avis de Yassir Kazar. Avec sa plateforme Yogosha (défenseur, en japonais), il ubérise le bug bounty, c’est-à-dire la recherche de bugs et de failles de sécurité. Start-up et entrepreneurs peuvent ainsi faire appel à une communauté de hackers « éthiques » pour développer des protocoles de sécurité… Et ne payent que si des solutions sont trouvées. « Ce modèle permet une massification, plaide le serial entrepreneur, les objets connectés représentent beaucoup d’enjeux très complexes, qui vont mettre en relation énormément d’acteurs et les hackers ont un rôle fondamental dans la société qui est en train de se construire. »
Mais ces hackers, qui sont-ils ? Des « bidouilleurs », explique Yassir Kazar. « Des personnes qui savent aller chercher les failles et qui ne fonctionnent pas comme le commun des mortels. » D’ailleurs, ajoute-t-il, des géants comme le MIT, Google et la NSA se sont déjà rendus compte de la valeur de ces pirates du net.
Et du côté de la CNIL ?
Pour Stéphane Petitcolas, expert IT à la Cnil, « la sécurité des données passe aussi par l’information des personnes et par le bon vouloir des utilisateurs. En effet, on part de l’utilisateur, contrairement à la sécurité des systèmes d’information classique où l’on part du risque ».
« Bien sûr, continue-t-il, quand on parle de sécurité des données, on parle de sécurité de l’ensemble du parcours de la donnée : il faut donc analyser toute la chaîne, une démarche que l’on voit encore trop peu avec la sécurité des objets connectés. »
Se pose alors la question du privacy by design, c’est-à-dire de l’intégration de la notion de vie privée dès la conception d’un objet connecté. « C’est une démarche qui est difficile à intégrer dans les entreprises, indique Stéphane Petitcolas. Certaines start-up « loyales » se demandent comment faire bien les choses. Mais, avec une entreprise qui a monté un modèle économique sur la vente de données, la négociation est beaucoup plus compliquée ! »
=> A lire aussi : FBI vs. Apple : « Il est dangereux d’introduire une porte dérobée dans un système »