Pour limiter les risques, les objets connectés doivent s’intégrer à la cybersécurité globale de l’entreprise. Problème : les responsables de la cybersécurité sont rarement à l’origine des projets impliquant des dispositifs connectés – pilotés par les métiers – et parfois même pas associés avant que ces derniers ne soient déployés. Bertrand Carlier, animateur du groupe de travail IoT du Clusif, l’association dédiée à la sécurité du numérique en France, alerte sur la nécessité de mieux prendre en compte les impératifs de sécurité dès le début des projets. Interview.
Quels sont les risques auxquels les entreprises sont le plus exposées lorsqu’elles utilisent des dispositifs connectés ?
Bertrand Carlier : Tout au long de sa vie, un objet connecté expose ses utilisateurs à plusieurs risques. Certains sont peu évidents mais bien réels, comme ceux qui interviennent au moment où l’objet est fabriqué et distribué. Il existe par exemple la possibilité d’injecter un malware dans la chaîne de production ou que les identifiants liés à l’objet soient volés. Les plus évidents sont les risques liés au milieu de la vie de l’objet : quand on l’utilise, on prend le risque de divulguer des infos trop largement. Le système IoT collecte et manipule énormément de données et constitue donc une source potentielle de fuite de données, y compris dans le cadre d’une activité légitime. Un autre risque majeur est la prise de contrôle via le réseau Wi-Fi auquel l’objet est connecté et de rebond sur le système d’information de l’entreprise. En fin de cycle de vie, lorsque les objets sont revendus ou jetés, se pose la question de l’effacement des données. L’ancien propriétaire peut-il continuer d’utiliser l’objet à distance ? Pensons aux ampoules connectées : l’ampoule claque, on la jette… mais le mot de passe du réseau wifi est encore dessus. Les entreprises doivent donc s’assurer de la sécurité sur l’ensemble du cycle de vie.
N’y a-t-il pas aussi un risque à utiliser des objets majoritairement fabriqués à l’étranger ?
B.C. : La question de la souveraineté est considérée uniquement par les organisations sensibilisées : les administrations publiques, les OIV… Dans les guides pour accompagner les entreprises sur l’IoT, le sujet est évoqué mais peu mis en avant. C’est tout simplement parce qu’on manque de solutions souveraines viables à grande échelle. Alors on ferme les yeux parce que l’IoT et le cloud sont bien pratiques.
Avec le développement de l’espionnage économique, relevé par l’Anssi, la cybersécurité des dispositifs connectés prend-t-elle une autre mesure ?
B.C. : C’est un risque identifié par les entreprises qui ont un niveau de maturité important sur les questions cyber et présentent des équipes suffisamment fournies qui ont le temps de se poser ces questions : les banques et assurances, par exemple. Dans l’industrie, la priorité est de sécuriser l’instrument de production pour le rendre résilient. Certaines entreprises évitent de se lancer dans l’IoT parce qu’elles sont conscientes qu’elles n’ont pas les moyens de se sécuriser efficacement. Mais ce n’est pas la majorité.
Les entreprises n’ont-elles donc pas conscience de cet impératif de sécurité ?
B.C. : On progresse mais il reste encore du travail à faire. D’autant que parmi les concepteurs d’objets connectés, certains, notamment les start-up, ont pour objectif de sortir un prototype, qui devra être amélioré dans de futures versions. Et cette première version intègre rarement l’aspect cybersécurité, parce que l’entreprise conceptrice n’a pas toujours dans l’équipe quelqu’un qui aurait des compétences en cyber.
Du côté des entreprises utilisatrices, les RSSI sont conscients des risques… mais ce ne sont pas eux qui sont à l’origine des projets métiers. Ils arrivent trop tard dans le processus de décision, lorsque les dispositifs connectés sont déjà choisis et déployés. J’ai en tête l’exemple d’une entreprise qui a installé dans une de ses salles des dalles équipées de micros pour diffuser du son : le RSSI n’était pas au courant et ne pouvait pas garantir que ces dalles ne puissent être utilisées à d’autres fins.
Que manque-t-il aux entreprises pour sécuriser leurs dispositifs connectés correctement ?
B.C. : Il ne manque pas grand-chose. C’est un sujet complexe, qui utilise des technologies exotiques que tout le monde ne maîtrise pas. C’est pour cela que les RSSI et les automaticiens mettent du temps à se comprendre. Ces derniers ne pensent pas au chemin de l’attaquant parce qu’ils n’ont pas de connaissances en cybersécurité. C’est la clé : réussir à faire travailler ensemble des compétences qui n’ont rien à voir. Si le RSSI est informé des projets IoT suffisamment tôt, il peut formuler des recommandations ou des exigences, les moduler en fonction du risque et du niveau de protection à obtenir. C’est aujourd’hui le cas pour les projets IT. Mais le réflexe n’est pas encore le même pour les projets métiers.
Biographie
Bertrand Carlier est, depuis plus de 15 ans, consultant senior dans le département Cybersécurité et Confiance numérique au sein du cabinet de conseil Wavestone. Il accompagne entreprises et industries dans leurs projets de management des identités et des accès. En parallèle, il anime le groupe de travail du Clusif (l’association française des utilisateurs d’outils de cybersécurité) dédié à l’IoT.
