La sécurité, impact commercial et pérennisation du marché des objets connectés

07/11/2016

Le marché des objets connectés est en passe de quitter le stade de niche, l'étape qui permettra sa pérennité sera celle de la sécurité. La confiance est l'élément clé qui lie un client et une entreprise.


Loin d'être un mythe, il est possible aujourd'hui pour n'importe quelle personne dotée de compétences en hacking de repérer un appareil mal sécurisé et d'en prendre le contrôle à distance. Shodan, moteur de recherche « le plus dangereux du monde » permet en deux-trois clics de se connecter à un appareil privé type IoT. Se procurer une adresse IP, en passant par une simple ampoule connectée, est devenu un jeu d'enfant. Récemment des ingénieurs chinois ont pris le contrôle du modèle connecté TESLA, contrôlant les freins à distance. Les exemples ne manquent pas. Quid des prochains systèmes industriels connectés déclenchant des actions physiques ? Au-delà des problématiques liées à la vie privée, celles de la vie humaine entachent sévèrement le marché émergent.

De l'épisode du « Black energy » en Ukraine à la collecte de données bancaires à grande échelle, la cyberattaque est un problème qui dépasse le cadre national.


Quels garde-fous ?

En France l'ANSSI et la CNIL, deux entités publiques, partenaires, s'adressent à la fois aux experts et à la société civile. L'ANSSI, agence d'expertise technique attelée à Matignon, informe, conseille, labellise les produits et prestataires de confiance. En aval, la CNIL, dédiée à la problématique des données personnelles, contrôle et sanctionne (amende pouvant atteindre jusqu'à 200 000 euros ou 4% du chiffre d'affaire). Le règlement européen du 27 avril 2016 l'instituant, qui s'applique directement dans notre droit national à compter du 25 mai 2018, provoque également un changement de paradigme : la déclaration préalable disparait et fait place à une obligation de conformité aux règles. Le privacy by design implique que les sociétés devront anticiper la protection des données personnelles, l'accountability instaure la responsabilité du responsable du traitement des données. Le consentement devra être explicite et non présumé. Conformément à la Loi informatique et libertés, un traitement ne peut porter que sur des données personnelles collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes.

Entreprises épinglées, mise en conformités la CNIL partage ses actualités https://www.cnil.fr/fr/actualites

Dans un avis d'octobre 2014, le G29, organe consultatif indépendant européen, qui regroupe les autorités de régulations comme la CNIL, rappelle que la réglementation informatique et liberté s'applique à l'« internet of things » (IoT), aux objets connectés.


La particularité de l'IoT : ne pas se précipiter et favoriser la sécurisation de l'objet

Le rôle revient au constructeur d'assurer la sécurisation de ses composants or seul 38% des entreprises se focalisent sur la sécurité dès le début de la phase de développement du produit. L'IoT est caractérisé par un système composé de sous-systèmes, son intérêt réside dans l'analyse et le traitement des données en temps réel grâce au cloud, c'est donc la chaine qu'il faut sécuriser. De l'objet à la plateforme cloud, la sécurisation nécessite une connaissance architecturale de la chaine de valeur. Chipset, capteurs, réseaux, serveurs, logiciels, firmware pour un traitement sécurisé, les données doivent y être chiffrées et les audits de sécurité réguliers.

Olivier Ezratty dans l'un de ses articles propose quelques éléments intéressants: Beyond security permet l'identification des failles de sécurité inconnues, Inside secure ou Trusted objects proposent des solutions de sécurisation. Les américains ont Build it secure , nous avons la FrenchTech et l'éco-système qu'elle implique... peu importe. Le rapprochement entre créateurs d'objets connectés et spécialistes est devenu nécessaire. La mise en relation entre start-up, grands groupes et ingénieurs, experts en cryptologie et sécurité informatique est une priorité.


Sécuriser c'est aussi éviter les risques juridiques en interne liés à la propriété intellectuelle et répondre aux standards prévus par la CNIL.

L'INPI[1] retient la définition technique de l'internet des objets (IoT)[2] comme : « un réseau de réseaux qui permet, via des systèmes d'identification électronique normalisés et unifiés, et des dispositifs mobiles sans fil, d'identifier directement et sans ambiguïté des entités numériques et des objets physiques, et ainsi de pouvoir récupérer, stocker, transférer et traiter, sans discontinuité entre les mondes physiques et virtuels, les données s'y rattachant »

En l'absence de régime juridique ad hoc, du fait de son innovation, l'objet connecté est un objet physique qui intègre des éléments techniques, et économiques obéissant chacun à des régimes juridiques distincts. Chaque participant à la mise en œuvre d'un tel objet étant susceptible de revendiquer des droits au titre de son apport, l'idée est de contractualiser le plus en amont possible entre les différents acteurs. Quels droits pour quels acteurs ? Du concepteur et codeur du programme au designer du produit, des outils juridiques[3] peuvent combler les insuffisances et permettre le développement et la commercialisation sans encombres.

Segmenter les différents acteurs et leurs droits respectifs c'est aussi en amont créer un cadre juridique pour chaque prestataire et permettre l'édiction de normes répondant aux standards de sécurité prévus par la CNIL.


La sécurité, valeur ajoutée sans précédent

84% des industriels n'évaluent jamais la sécurité de leurs produits, il est urgent de retourner la tendance. Dans un marché hautement concurrentiel, profitons de nos lois européennes et nationales, de nos structures publiques, de nos experts.

En 2011, le département de l'immigration du Guangdong a divulgué les données personnelles de 4 millions d'internautes ; en 2014 la malhonnêteté d'une chaine d'hôtels et d'un site de réservation de train ont touché respectivement 20 millions touristes et 130 000 voyageurs. Depuis la médiatisation de ces trois grandes affaires de fuite relatives aux données personnelles, le gouvernement chinois a renforcé son arsenal juridique.

La sécurité des données personnelles en Chine[4] malgré des lois et des amendements condamnant et criminalisant leurs ventes contre le gré des intéressés, reste insuffisante aux vues des protections européennes. Les entreprises doivent prendre le relai, en proposant des mesures complémentaires vis-à-vis des investisseurs étrangers, et des citoyens européens.

Alors que la majorité de nos données sont stockées aux Etats-Unis, l'Union Européenne s'empare de la problématique et reconnait dans un premier temps le « Safe Harbor ». Ce dispositif de protection américain repose sur une démarche volontaire de l'entreprise qui s'auto certifie comme respectant les principes de la vie privée. En accord avec la loi informatique et liberté, qui pose un principe général d'interdiction de transférer des données à caractère personnel vers un pays tiers si ce celui-ci n'assure pas un niveau de protection suffisant, le « Safe Harbor » était une avancée. Très controversé et mis à mal par les révélations d'Edward Snowden en 2013, finalement l'arrêt Maximilian Schrems c/data protection commissionner de la Cour de Justice de l'Union Européenne du 6 octobre 2015 revient et invalide cette décision, révélant la non-coopération de Facebook et donc l'inefficacité de cet accord.

Le « Privacy shield » succède au « Safe Harbor », il oblige et contraint les entreprises américaines à protéger les données personnelles des citoyens de l'Union Européenne sous le contrôle du ministère américain du commerce et la Federal trade commission en coopération avec les autorités européennes chargées de la protection des données. Un médiateur est également désigné, les européens pourront lui soumettre des plaintes.

Aujourd'hui, du fait d'une sensibilisation accrue des citoyens, la fuite des données personnelles permise par la non protection d'un appareil et/ou la malveillance de certains acteurs pourraient s'avérer tragique pour l'image d'une entreprise et casser le lien de confiance avec le client. La sécurité rend nos produits attractifs, capitalisons sur nos point forts en donnant la priorité à la sécurité des objets connectés.


Bérengère Pasquier

Tous droits d'auteur sont la propriété exclusive de ©LIKE INTERNATIONAL-Novembre 2016


[1] INPI : Institut National de la Propriété Industrielle

[2] « L'internet des objets: quels enjeux pour l'Europe?», pierre-Jean Benghozi, Sylvain Bureau, Françoise Massit-Folléa, ed. Maison des sciences de l'homme, 2009

[3] Le brevet, les droits d'auteur, le dépôt de dessin et modèle ou d'une marque

[4] https://www.lexology.com/library/detail.aspx?g=17884797-e678-4e20-9e76-03d2fe4a9dec 

Share
© 2016 Like International - 198, quai de la Bataille de Stalingrad 92130 Issy Les Moulineaux
Optimisé par Webnode Cookies
Créez votre site web gratuitement ! Ce site internet a été réalisé avec Webnode. Créez le votre gratuitement aujourd'hui ! Commencer