La sécurité des objets connectés

11 décembre 2014 | ACTUALITÉS, Publications du Cigref, Publications par thèmes, Risques numériques

Dans le cadre du cycle « Sécurité des usages numériques » proposé conjointement par le CIGREF et le département Sécurité économique de l’INHESJ, les auditeurs de la 4ème promotion viennent de publier « La sécurité des objets connectés« , un de leurs travaux 2013/2014 .

Securite-objets-connectes-cigref-inhesjPour aborder l’« Internet of Things », on peut retenir d’une revue de littérature française quatre formules : Internet des objets, objets connectés, Systèmes d’Information connectés aux objets, et Services délivrés via des objets connectés.

La lecture de cette liste montre que l’« Internet of Things » est un domaine encore flottant et qu’il serait aventureux d’arrêter un discours définitif, notamment en matière de sécurité. Néanmoins, en vue de progresser vers ce discours, cette liste de quatre formules peut suggérer aux entreprises quatre points de vue, qui sont respectivement de nature juridique, technique, opérationnelle et commerciale.

Le premier point de vue, qui régit les autres, est le point de vue juridique. L’usage des objets connectés révèle des risques importants notamment en termes de protection de la vie privée et de responsabilité pour les utilisateurs et fabricants. Pour ces derniers, le corpus juridique révèle un ensemble d’obligations que les entreprises doivent respecter notamment dans les domaines des standards et normes applicables aux ondes. La conjonction de ces éléments oblige les acteurs à agir en amont tant au niveau d’une pratique indispensable de la RSE, mais aussi sur le plan de la conception des objets connectés ou une approche de « Privacy by design » est largement encouragée.

Le point de vue technique ouvre le champ des potentiels. Dans le fil de l’héritage de l’Internet, la technique se focalise sur les normes d’interopérabilité. Ces normes avancent une architecture globale d’un système avec des objets connectés, des protocoles de réseau utilisés par les objets, un adressage des objets et des mécanismes de messagerie entre les objets. La sécurité est d’emblée traitée dans chaque norme.

Le point de vue opérationnel trace le faisable. Pour les grandes entreprises, l’introduction des objets connectés et leur connexion au système d’information introduit des changements majeurs : nature et volume des données, périmètre du réseau d’entreprise, localisation des accès et des utilisateurs, impacts matériels voire physiques sur les personnes, empilement de technologies anciennes et nouvelles… Ces changements de contexte exigent une adaptation de l’approche sécurité au niveau des projets, en adaptant et renforçant les outils et méthodes existantes et en élargissant la gouvernance. Les entreprises devront aussi anticiper les modifications des opérations internes liées à l’introduction des objets connectés et visant à assurer la confidentialité, la disponibilité et l’intégrité du système d’information, et gérer de manière sécurisée son ouverture.

Enfin, le point de vue commercial adresse le réel via l’usage. L’entreprise doit s’attendre à des usages imprévus, détournés, parfois inconséquents, voire malveillants ou illicites. Par ailleurs, du fait de l’embarquement de capteurs et d’actionneurs, l’usage d’un objet connecté fait naître des risques sur les personnes, les biens et l’environnement. La gouvernance des systèmes d’information connectés au objets pourra être aménagée en instituant un responsable des usages aux cotés du chef de projet maîtrise d’ouvrage et du chef de projet maîtrise d’œuvre, une phase d’expérience client en situation réelle, un travail spécifique de définition des conditions d’utilisation et le financement de fonctionnalités propres à assurer un usage conforme. On peut s’attendre à une évolution des représentations collectives de la fonction système d’information.

Télécharger le rapport « La sécurité des objets connectés » [pdf, 2,6 Mo]

Nomenclature des profils métiers du SI – version 2024

Le Cigref maintient, depuis 1991, une Nomenclature des profils métiers existants dans les Directions du Numérique des entreprises membres du Cigref. Cet outil ne présente pas ce que « doivent » être ou ce que « seront » les métiers des SI mais ce qu’ils sont...

Première édition des cahiers des Rencontres Numériques de Strasbourg – Édition 2024

Lors de la première édition des Rencontres Numériques de Strasbourg, nous avons réussi le pari de rassembler dans l’enceinte du Parlement européen, en plein mois de mars, près de 150 dirigeants du secteur numérique français pour un événement inédit de deux jours et...

Cahier des charges technique à intégrer dans l’appel d’offre cloud de confiance

Un certain nombre de membres du Cigref envisagent de lancer un appel d'offres pour des solutions de cloud de confiance. C'est pourquoi les membres du groupe de travail « cloud de confiance » ont décidé d'œuvrer collectivement à la rédaction de la partie technique d'un...

Cigref memo – AI in business: feedback and best practices

In July 2023, Cigref published its first information and news note titled « Recommendations on generative AI ». Six months later, the particularly rapid development of solutions integrating this type of technology, the experiments and...