Les exemples ne manquent pas de failles de sécurité dans le nouveau monde de l'Internet des objets. L'étude du cabinet Deloitte « Les IoT : un nouvel enjeu stratégique pour les entreprises » en cite plusieurs, dans la plupart des domaines d'application de l'IoT. Presque 100% des véhicules connectés par exemple utilisent des technologies sans fil et semblent ainsi vulnérables. Un SMS a suffi pour pénétrer les systèmes de plusieurs d'entre eux, des attaques plus complexes ont permis de s'assurer le contrôle de véhicules. En 2014, en Allemagne, une cyberattaque a déréglé le réseau interne d'une aciérie.
A l'opposé, dans le grand public, les poupées connectées sont également vulnérables ! L'exemple peut faire sourire, sauf qu'elles peuvent indiquer le lieu où se trouve l'enfant, les parents, et les photos prises en disent encore plus. La transmission de données se fait souvent en clair, ce qui facilite le piratage. Si la base de données du fabricant est mal protégée, c'est encore plus tentant pour le hacker. Les appareils domestiques étant de plus en plus connectés, télévisons, webcams, thermostats, prises électriques, commandes à distance des serrures, des alarmes, les occasions de pirater les données personnelles se multiplient. Les opérateurs de ces services, souvent plusieurs partenaires, sont en première ligne. Les données peuvent être manipulées, interrompues (désactivation d'une alarme, prise de contrôle d'une serrure), contrefaites. Le client est victime, le fabricant, son intégrateur et son distributeur, responsables.
GDPR en ligne de mire
C'est un nouveau chapitre qui s'ouvre dans le monde des cybermenaces. « Les objets connectés sont des cibles « business » à forte valeur ajoutée » note Michael Bittan, Associé Leader des activités Cyber Risk Services chez Deloitte. En clair, l'internet des objets se développe rapidement, à mesure que les usages se multiplient et donc le transport de données personnelles. Un risque très fort, y compris au plan de la conformité, avec l'arrivée de GDPR : « transférer des données de citoyens européens peut poser quelques problèmes et d'autant plus à partir de mai 2018, date de sa mise en application ».
Les entreprises doivent protéger les données recueillies et les exploiter dans un cadre réglementaire exigeant. Des attaques récentes ont compromis des objets connectés en principe sécurisés, relève Deloitte dans son étude. Les cybercriminels s'adaptent très bien et ciblent tout échange de données. Avec 30 milliards d'objets connectés à l'horizon 2020 (selon IDC), leurs cibles sont innombrables. Pour les entreprises, c'est une question de confiance à installer sur ces nouveaux marchés. Aux Etats-Unis, selon une étude ESTE-NCSA, 40% des personnes interrogées n'ont aucune confiance dans la sécurité des objets connectés. Derrière l'enjeu de la sécurité, se profile celui du business.
Commentaire