La sécurité des objets connectés

11 décembre 2014 | ACTUALITÉS, Publications du Cigref, Publications par thèmes, Risques numériques

Dans le cadre du cycle « Sécurité des usages numériques » proposé conjointement par le CIGREF et le département Sécurité économique de l’INHESJ, les auditeurs de la 4ème promotion viennent de publier « La sécurité des objets connectés« , un de leurs travaux 2013/2014 .

Securite-objets-connectes-cigref-inhesjPour aborder l’« Internet of Things », on peut retenir d’une revue de littérature française quatre formules : Internet des objets, objets connectés, Systèmes d’Information connectés aux objets, et Services délivrés via des objets connectés.

La lecture de cette liste montre que l’« Internet of Things » est un domaine encore flottant et qu’il serait aventureux d’arrêter un discours définitif, notamment en matière de sécurité. Néanmoins, en vue de progresser vers ce discours, cette liste de quatre formules peut suggérer aux entreprises quatre points de vue, qui sont respectivement de nature juridique, technique, opérationnelle et commerciale.

Le premier point de vue, qui régit les autres, est le point de vue juridique. L’usage des objets connectés révèle des risques importants notamment en termes de protection de la vie privée et de responsabilité pour les utilisateurs et fabricants. Pour ces derniers, le corpus juridique révèle un ensemble d’obligations que les entreprises doivent respecter notamment dans les domaines des standards et normes applicables aux ondes. La conjonction de ces éléments oblige les acteurs à agir en amont tant au niveau d’une pratique indispensable de la RSE, mais aussi sur le plan de la conception des objets connectés ou une approche de « Privacy by design » est largement encouragée.

Le point de vue technique ouvre le champ des potentiels. Dans le fil de l’héritage de l’Internet, la technique se focalise sur les normes d’interopérabilité. Ces normes avancent une architecture globale d’un système avec des objets connectés, des protocoles de réseau utilisés par les objets, un adressage des objets et des mécanismes de messagerie entre les objets. La sécurité est d’emblée traitée dans chaque norme.

Le point de vue opérationnel trace le faisable. Pour les grandes entreprises, l’introduction des objets connectés et leur connexion au système d’information introduit des changements majeurs : nature et volume des données, périmètre du réseau d’entreprise, localisation des accès et des utilisateurs, impacts matériels voire physiques sur les personnes, empilement de technologies anciennes et nouvelles… Ces changements de contexte exigent une adaptation de l’approche sécurité au niveau des projets, en adaptant et renforçant les outils et méthodes existantes et en élargissant la gouvernance. Les entreprises devront aussi anticiper les modifications des opérations internes liées à l’introduction des objets connectés et visant à assurer la confidentialité, la disponibilité et l’intégrité du système d’information, et gérer de manière sécurisée son ouverture.

Enfin, le point de vue commercial adresse le réel via l’usage. L’entreprise doit s’attendre à des usages imprévus, détournés, parfois inconséquents, voire malveillants ou illicites. Par ailleurs, du fait de l’embarquement de capteurs et d’actionneurs, l’usage d’un objet connecté fait naître des risques sur les personnes, les biens et l’environnement. La gouvernance des systèmes d’information connectés au objets pourra être aménagée en instituant un responsable des usages aux cotés du chef de projet maîtrise d’ouvrage et du chef de projet maîtrise d’œuvre, une phase d’expérience client en situation réelle, un travail spécifique de définition des conditions d’utilisation et le financement de fonctionnalités propres à assurer un usage conforme. On peut s’attendre à une évolution des représentations collectives de la fonction système d’information.

Télécharger le rapport « La sécurité des objets connectés » [pdf, 2,6 Mo]

New ways of organising work: Hybrid working, a means of transforming human relationships and how work is organised

Cigref publishes a report on the work of its working group in collaboration with Numeum on the theme of "New work organisations". The work was led by Corinne Dajon, Member of the Group Management Board in charge of the organisation and information systems of AG2R LA...

Digital sobriety: managing the digital environmental footprint through measurement

Cigref publishes the new 2021 iteration of the work of its working group "Digital Sobriety", led by Christophe Boutonnet, Deputy Director of Digital at the Ministries of Ecology, Territories and the Sea, Hervé Dumas, Sustainability IT Director at L'Oréal and...

Audits de licences logicielles : Charte des bonnes pratiques 2021 : recommandations des membres du Cigref à l’usage des clients et de leurs fournisseurs

Le Club Relations fournisseurs du Cigref propose une mise à jour de sa Charte des bonnes pratiques en matière d’audit de licences logicielles datant de 2015, réalisée avec la contribution d’une dizaine de juristes, d’acheteurs et de gestionnaires d’actifs logiciels...