La sécurité des objets connectés

11 décembre 2014 | ACTUALITÉS, Publications du Cigref, Publications par thèmes, Risques numériques

Dans le cadre du cycle « Sécurité des usages numériques » proposé conjointement par le CIGREF et le département Sécurité économique de l’INHESJ, les auditeurs de la 4ème promotion viennent de publier « La sécurité des objets connectés« , un de leurs travaux 2013/2014 .

Securite-objets-connectes-cigref-inhesjPour aborder l’« Internet of Things », on peut retenir d’une revue de littérature française quatre formules : Internet des objets, objets connectés, Systèmes d’Information connectés aux objets, et Services délivrés via des objets connectés.

La lecture de cette liste montre que l’« Internet of Things » est un domaine encore flottant et qu’il serait aventureux d’arrêter un discours définitif, notamment en matière de sécurité. Néanmoins, en vue de progresser vers ce discours, cette liste de quatre formules peut suggérer aux entreprises quatre points de vue, qui sont respectivement de nature juridique, technique, opérationnelle et commerciale.

Le premier point de vue, qui régit les autres, est le point de vue juridique. L’usage des objets connectés révèle des risques importants notamment en termes de protection de la vie privée et de responsabilité pour les utilisateurs et fabricants. Pour ces derniers, le corpus juridique révèle un ensemble d’obligations que les entreprises doivent respecter notamment dans les domaines des standards et normes applicables aux ondes. La conjonction de ces éléments oblige les acteurs à agir en amont tant au niveau d’une pratique indispensable de la RSE, mais aussi sur le plan de la conception des objets connectés ou une approche de « Privacy by design » est largement encouragée.

Le point de vue technique ouvre le champ des potentiels. Dans le fil de l’héritage de l’Internet, la technique se focalise sur les normes d’interopérabilité. Ces normes avancent une architecture globale d’un système avec des objets connectés, des protocoles de réseau utilisés par les objets, un adressage des objets et des mécanismes de messagerie entre les objets. La sécurité est d’emblée traitée dans chaque norme.

Le point de vue opérationnel trace le faisable. Pour les grandes entreprises, l’introduction des objets connectés et leur connexion au système d’information introduit des changements majeurs : nature et volume des données, périmètre du réseau d’entreprise, localisation des accès et des utilisateurs, impacts matériels voire physiques sur les personnes, empilement de technologies anciennes et nouvelles… Ces changements de contexte exigent une adaptation de l’approche sécurité au niveau des projets, en adaptant et renforçant les outils et méthodes existantes et en élargissant la gouvernance. Les entreprises devront aussi anticiper les modifications des opérations internes liées à l’introduction des objets connectés et visant à assurer la confidentialité, la disponibilité et l’intégrité du système d’information, et gérer de manière sécurisée son ouverture.

Enfin, le point de vue commercial adresse le réel via l’usage. L’entreprise doit s’attendre à des usages imprévus, détournés, parfois inconséquents, voire malveillants ou illicites. Par ailleurs, du fait de l’embarquement de capteurs et d’actionneurs, l’usage d’un objet connecté fait naître des risques sur les personnes, les biens et l’environnement. La gouvernance des systèmes d’information connectés au objets pourra être aménagée en instituant un responsable des usages aux cotés du chef de projet maîtrise d’ouvrage et du chef de projet maîtrise d’œuvre, une phase d’expérience client en situation réelle, un travail spécifique de définition des conditions d’utilisation et le financement de fonctionnalités propres à assurer un usage conforme. On peut s’attendre à une évolution des représentations collectives de la fonction système d’information.

Télécharger le rapport « La sécurité des objets connectés » [pdf, 2,6 Mo]

Guide de mise en œuvre de l’AI Act : Cartographie des obligations applicables aux organisations

La loi européenne sur l’Intelligence Artificielle, plus communément désignée comme AI Act, vise à créer un cadre global de confiance avec pour objectif le développement et le déploiement d’une IA respectueuse des valeurs européennes.  À partir du 2 février 2025,...

Guide de mise en œuvre de l’AI Act : Points clés – Introduction

La loi européenne sur l’Intelligence Artificielle, plus communément désignée comme AI Act, vise à créer un cadre global de confiance avec pour objectif le développement et le déploiement d’une IA respectueuse des valeurs européennes. Ce guide pratique s'adresse à...

Migration dans le cloud : point d’étape

Après deux années de travaux sur la migration vers le cloud, de 2020 à 2022, le Cigref avait marqué une pause sur ce sujet. L'objectif de cette interruption était de permettre aux organisations de poursuivre leur programme de migration et de recueillir, l'année...

IT Job Profiles Nomenclature 2024 version

Since 1991, Cigref has maintained a nomenclature of existing job profiles in the digital departments of Cigref member companies. This tool does not represent what IS professions "should" or "will" be, but what they are today in these organizations. It therefore...

Cloud migration : update

After two years of work on cloud migration, from 2020 to 2022, Cigref took a break from the subject. The aim of this pause was to allow organisations to continue with their migration programme and to gather updated, clear and constructive feedback the following year....