Embed Size (px)
Citation preview
1Table des matières
Introduction
Chapitre 1Panorama de l’IoT
1. Définir l’Internet des Objets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2. Définir l’objet connecté . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
3. Histoire de l’Internet des Objets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
4. Les besoins des objets connectés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
5. Le marché de l’IoT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
6. Les attentes et les freins . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
7. Les opérateurs réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
8. Le Top 20. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
9. Les entreprises de conseil, d’audit et de formation. . . . . . . . . . . . . . . 449.1 360 OBJETS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449.2 AGENCE IoT BY OPEN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459.3 OBJET BY FABERNOVEL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469.4 MC2I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469.5 OXELAR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
10. État de maturité des entreprises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Les éléments à télécharger sont disponibles à l'adresse suivante :http://www.editions-eni.fr
Saisissez la référence ENI du livre DPIOTRG dans la zone de recherche et validez. Cliquez sur le titre du livre puis sur le bouton de téléchargement.
2Maximisez les opportunités et minimisez les risques
IoT & RGPD
Chapitre 2Risques et solutions
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
2. Les risques sécuritaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532.1 Intrusion et collecte de données . . . . . . . . . . . . . . . . . . . . . . . . . 54
2.1.1 Les différentes typologies de risques . . . . . . . . . . . . . . . . 542.1.2 La sécurité et la protection des données personnelles . . 552.1.3 Les préoccupations sécuritaires . . . . . . . . . . . . . . . . . . . . 562.1.4 Les quatre risques majeurs de sécurité. . . . . . . . . . . . . . . 572.1.5 Une sécurité et une vie privée menacées . . . . . . . . . . . . . 59
2.2 Les attaques et le vol de données confidentielles et stratégiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
3. Les pratiques sécuritaires à adopter. . . . . . . . . . . . . . . . . . . . . . . . . . . 613.1 Effectuer régulièrement les mises à jour de sécurité. . . . . . . . . . 663.2 France Cybersecurity certifie les objets. . . . . . . . . . . . . . . . . . . . 673.3 Un foisonnement de données personnelles . . . . . . . . . . . . . . . . 68
4. Les risques financiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
5. Hétérogénéité des réseaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
6. Hétérogénéité des protocoles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
7. L’impact environnemental. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
8. L’adoption obligatoire par les grands groupes . . . . . . . . . . . . . . . . . . 72
9. Les risques juridiques et législatifs. . . . . . . . . . . . . . . . . . . . . . . . . . . . 739.1 Les situations juridiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
9.1.1 Les États-Unis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 749.1.2 La France . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 759.1.3 L’Union européenne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 769.1.4 Le RGPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
9.2 L'importance de la responsabilité . . . . . . . . . . . . . . . . . . . . . . . . 79
10. Les risques sanitaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
3Table des matières
11. Inutilité, inefficacité, abandon : de réels risques commerciaux. . . . . 81
11.1 Une abondance d’objets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
11.2 Une nécessaire efficacité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
11.3 L’abandon des objets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Chapitre 3
Conformité au RGPD
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
2. La maturité des entreprises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
3. Le RGPD, nouveau règlement européen . . . . . . . . . . . . . . . . . . . . . . . 87
3.1 Un caractère obligatoire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
3.2 Une harmonisation de la protection des données personnelles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
3.3 Le respect des libertés et droits fondamentaux . . . . . . . . . . . . . 89
3.4 Une adaptation et modernisation du cadre juridique . . . . . . . . 90
3.5 Qui doit se conformer ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
4. Les autorités compétentes et les organes consultatifs . . . . . . . . . . . . 92
4.1 Qui est la CNIL ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
4.2 Le groupe de travail ido Privacy . . . . . . . . . . . . . . . . . . . . . . . . . . 93
4.3 Le groupe G29 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
4.4 Le Comité Européen de la Protection des Données (CEPD) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
4.5 Autorité référente dite chef de file. . . . . . . . . . . . . . . . . . . . . . . . 95
5. Le respect de la vie privée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
6. La donnée à caractère personnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
6.1 Définition de la donnée à caractère personnel . . . . . . . . . . . . . . 97
6.2 La donnée dite sensible. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
7. Le responsable de traitements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
4Maximisez les opportunités et minimisez les risques
IoT & RGPD
8. Les grands principes du RGPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1008.1 Premier principe : un traitement licite, loyal et parfaitement
transparent des données à caractère personnel. . . . . . . . . . . . . 1018.2 Second principe : des finalités précises, parfaitement
légitimes et explicites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1028.3 Troisième principe : des données utilisées uniquement dans
la limite de la finalité pour lesquelles elles ont été collectées . 1028.4 Quatrième principe : un registre des traitements
exacts et à jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1048.5 Cinquième principe : limitation de la durée d’identification
des données à caractère personnel . . . . . . . . . . . . . . . . . . . . . . . 1058.6 Sixième principe : mise en œuvre d’une sécurité adéquate
pour assurer la parfaite intégrité et confidentialité des données conservées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
9. Les nouvelles obligations et responsabilités . . . . . . . . . . . . . . . . . . . 1079.1 Les nouvelles obligations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1079.2 Les nouvelles responsabilités . . . . . . . . . . . . . . . . . . . . . . . . . . . 1099.3 Transfert de données vers des pays tiers
ou organisation internationale . . . . . . . . . . . . . . . . . . . . . . . . . 1129.3.1 L’accord « Privacy Shield Framework » . . . . . . . . . . . . . 1149.3.2 Les modèles de contrats type de transferts
de données en pays tiers . . . . . . . . . . . . . . . . . . . . . . . . . 1149.3.3 Les Binding Corporate Rules . . . . . . . . . . . . . . . . . . . . . 1159.3.4 Les accords d’adéquations. . . . . . . . . . . . . . . . . . . . . . . . 116
10. Le consentement de la personne . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
11. L’information de la personne concernée par un traitement . . . . . . 11911.1 Données collectées auprès des personnes
concernées (collecte directe) . . . . . . . . . . . . . . . . . . . . . . . . . . . 11911.2 Données collectées indirectement (collecte indirecte) . . . . . . . 120
12. Les nouveaux droits des personnes . . . . . . . . . . . . . . . . . . . . . . . . . . 12112.1 Droit d’accès . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12112.2 Droit de rectification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12212.3 Droit à l'effacement dit « droit à l'oubli » . . . . . . . . . . . . . . . . . 122
5Table des matières
12.4 Droit à la limitation du traitement . . . . . . . . . . . . . . . . . . . . . . 12212.5 Obligation de notification en cas de rectification
ou d’effacement de données à caractère personnel ou en cas de limitation du traitement. . . . . . . . . . . . . . . . . . . . 123
12.6 Droit à la portabilité des données . . . . . . . . . . . . . . . . . . . . . . . 12312.7 Droit d'opposition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12412.8 Décision individuelle automatisée dont profilage . . . . . . . . . . 124
13. Focus sur le droit à la portabilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
14. Concepts de Privacy by design et Privacy by default . . . . . . . . . . . . . . 127
15. Le Délégué à la Protection des Données (DPO) . . . . . . . . . . . . . . . . 12815.1 Le rôle du DPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12815.2 Secret professionnel et missions annexes . . . . . . . . . . . . . . . . . 12915.3 Les missions du DPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
16. Plan d’action et étapes obligatoires de conformité . . . . . . . . . . . . . . 13116.1 La réalisation du PIA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13316.2 Recours administratifs et juridictionnels, réparations . . . . . . . 134
17. Mise en œuvre de l’étude d’impact sur la vie privée . . . . . . . . . . . . 13517.1 Les parties prenantes, actions et responsabilités . . . . . . . . . . . 136
17.1.1 Le RSSI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13717.1.2 Le CIL et le DPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13717.1.3 Le MOE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13717.1.4 Le MOA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13717.1.5 Le RT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
17.2 Réalisation du PIA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13817.3 Particularité de la sous-traitance des traitements. . . . . . . . . . . 140
18. Renforcement des contrôles et sanctions . . . . . . . . . . . . . . . . . . . . . 142
19. Un avantage concurrentiel, véritable contrat de confiance . . . . . . . 143
20. Adaptation du droit français au RGPD . . . . . . . . . . . . . . . . . . . . . . . 143
6Maximisez les opportunités et minimisez les risques
IoT & RGPD
Chapitre 4Opportunités et bénéfices
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
2. L’IoT pour les particuliers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1482.1 Développer usages et services . . . . . . . . . . . . . . . . . . . . . . . . . . 1482.2 À la recherche de l’usage différenciant . . . . . . . . . . . . . . . . . . . 151
3. L’IoT pour les entreprises. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1543.1 Impact de l'IOT sur les entreprises . . . . . . . . . . . . . . . . . . . . . . 1543.2 Nouveaux modèles économiques . . . . . . . . . . . . . . . . . . . . . . . 1553.3 Les bénéfices clés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1573.4 Une transformation digitale accélérée. . . . . . . . . . . . . . . . . . . . 1583.5 Pour conclure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
4. La notion de services autour de l’IoT . . . . . . . . . . . . . . . . . . . . . . . . 1594.1 Offrir de la valeur par l’exploitation de la data. . . . . . . . . . . . . 159
4.1.1 Optimiser les produits et dispositifs . . . . . . . . . . . . . . . 1614.1.2 Simplifier l’UX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1614.1.3 Une structure schema-on-read comme base initiale. . . 162
4.2 Lutter contre la fraude . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1634.3 Optimiser l’efficacité opérationnelle . . . . . . . . . . . . . . . . . . . . . 1644.4 Une connectivité source d’avantage concurrentiel. . . . . . . . . . 167
5. L’Internet Industriel ou Industrial Internet of Things (IIoT) . . . . . 1675.1 Les solutions IoT applicables aux industries. . . . . . . . . . . . . . . 168
5.1.1 Optimisation du contrôle des actifs . . . . . . . . . . . . . . . 1685.1.2 Blockchain et IoT : un duo gagnant ? . . . . . . . . . . . . . . 1695.1.3 Maintenance prédictive . . . . . . . . . . . . . . . . . . . . . . . . . 1725.1.4 Optimisation de la productivité. . . . . . . . . . . . . . . . . . . 1765.1.5 Exploitation de données stratégiques . . . . . . . . . . . . . . 1775.1.6 Optimisation des coûts. . . . . . . . . . . . . . . . . . . . . . . . . . 177
5.2 La notion d’interconnexion des solutions IoT . . . . . . . . . . . . . 177
6. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
7Table des matières
Chapitre 5Maximiser le ROI
1. De l’IoT à l’IoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1811.1 Des usages et des services incontournables. . . . . . . . . . . . . . . . 181
2. Méthodes de monétisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1832.1 Un business model « Product as a service » . . . . . . . . . . . . . . . 1832.2 Construire son modèle et le monétiser . . . . . . . . . . . . . . . . . . . 184
2.2.1 L’étape cruciale de la création de valeur . . . . . . . . . . . . 1842.2.2 Identifier les différentes valeurs clients . . . . . . . . . . . . . 186
3. Définir une stratégie IoT performante . . . . . . . . . . . . . . . . . . . . . . . 1863.1 Une stratégie d’intégration verticale . . . . . . . . . . . . . . . . . . . . . 1863.2 Une stratégie de création de valeur . . . . . . . . . . . . . . . . . . . . . . 1873.3 Une migration de la valeur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1883.4 Les systèmes de délivrance de la valeur . . . . . . . . . . . . . . . . . . . 1893.5 Une stratégie de monétisation. . . . . . . . . . . . . . . . . . . . . . . . . . 189
4. Les techniques pour performer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1924.1 L’interface Less Experience. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1924.2 Le machine-to-machine (M2M). . . . . . . . . . . . . . . . . . . . . . . . . 1924.3 L’Intelligence Artificielle (IA). . . . . . . . . . . . . . . . . . . . . . . . . . . 1944.4 L’IoT-commerce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1944.5 Le traitement en temps réel . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
5. Mesure et maximisation du ROI (Retour sur Investissement) . . . . 197
6. Les facteurs déterminants d’un ROI performant . . . . . . . . . . . . . . . 1996.1 Les règles d’or de conception . . . . . . . . . . . . . . . . . . . . . . . . . . . 2006.2 S’entourer des bons prestataires . . . . . . . . . . . . . . . . . . . . . . . . 200
7. Réussir son déploiement IoT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
8. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
8Maximisez les opportunités et minimisez les risques
IoT & RGPD
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Annexe
1. Quelle est la maturité de votre entreprise ? . . . . . . . . . . . . . . . . . . . 211
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
51
Chapitre 2
Risques et solutions
Risques et solutions1. Introduction
Une multitude de risques et de limites existent dans le monde de l’Internet desObjets tels que la complexité d’un système beaucoup trop hybride, des ré-seaux de communication très hétérogènes, une absence de normes, une diffi-culté de relever et corriger les bugs le plus rapidement possible… Les acteursde terrain vont être la clé, en mesure d’opérer le plus rapidement possible ledébogage. Le recours à des entreprises de conseil, d’audit et de formation per-met de mieux maîtriser ces risques et de profiter des opportunités de l'Internetdes Objets.
Il est important « d’intégrer la notion de risque : dans une démarched’innovation IoT, les échecs font partie du processus », précise DavidGautier et Franck Nassah, les auteurs du livre blanc IoT : quelle réalité pour lesecteur industriel en France, CXP Group, mars 2016 (p. 6).
Néanmoins, mieux les connaître permet d’en diminuer drastiquement lenombre et leurs effets.
L’étude Navigating the Internet of Things du cabinet VDC Research, indique que« seuls 27 % des professionnels du secteur pensent que les objetsconnectés sont peu ou pas vulnérables aux attaques extérieures ».
© E
dit
ions
EN
I -
All r
ights
rese
rved
52Maximisez les opportunités et minimisez les risques
IoT & RGPD
A contrario donc, 73 % estiment que les objets dits connectés sont quelquepeu vulnérables (52 %), très vulnérables (19 %) ou extrêmement vulnérables(2 %) (source : Etude Navigating the Internet of Things, VDC Research,ubm.com, Avril 2013. http://www.prnewswire.com/news-releases/ubm-tech-and-vdc-research-to-unveil-navigating-the-internet-of-things-report-at-design-west-202349051.html). Quant à la toute dernière étude d’ExtremeNetworks sur l’IoT, elle révèle que 57 % des personnes interrogées se disentinquiètes quant à la sécurité desdits objets.
« Notre esprit ne fonctionne pas du tout comme une caméra ou une machine :toute perception est une création » (Olivier Wolf Sacks, Un anthropologue surMars, 1995). Une perception ne reflète pas la réalité, mais seulement un res-senti humain d’une situation. Il y a parfois un fossé, entre réalité et percep-tion. Néanmoins, une telle perception négative sur la sécurité des objetsconnectés prend forcément sa source dans une certaine réalité.
Quelle est alors la réelle vulnérabilité de l’Internet des Objets en2018?
Selon les évaluations réalisées par Digital Security en 2017 sur 100 solutionsIoT, tant d’un point de vue matériel que logiciel, l’écart entre les besoins réelset les mesures de sécurité mises en œuvre est vertigineux.
Mais quelles sont alors les cinq principales vulnérabilités des objetsconnectés?
– Des mises à jour non sécurisées.
– Une utilisation de clés et de mots de passe par défaut.
– Un stockage de données en clair sans aucun chiffrement.
– Un accès aux interfaces de débogage ouvrant la voie à une prise de contrôle
Source : https://www.digital.security/fr/sites/default/files/imce/documents/cp-digital-security_evaluationiot-20170725.pdf
53Risques et solutionsChapitre 2
2. Les risques sécuritaires
« Beaucoup d’entreprises et d’industriels n’ont absolument aucune ex-périence avec la sécurité, souvent trop concentrés à fabriquer des pro-duits, à rechercher les profits. La cybersécurité n’est donc absolumentpas la priorité pour bon nombre d’entre elles », précise James Lyne, Di-recteur monde de la recherche sur la sécurité de Sophos, société spécialiséedans l’édition de logiciels et d'applications de sécurité. Source : https://secu-ringthehuman.sans.org/newsletters/ouch/issues/OUCH-201605_en.pdf).
Pour Ismael Toure, Head of Production and Infrastructure, interviewé fin2016, « les objets connectés ne représentent pas réellement un risque pour leparticulier mais peut représenter un risque important pour les entreprises, no-tamment pour celles ayant une forte exposition médiatique ou concernées pardes affaires ou des dossiers un peu complexes » (source : Ismael Toure, Headof Production and Infrastructure, Entretien du 16 novembre 2016 réalisé parNicolas Préteceille, Paris).
Les risques à même de limiter la croissance de l’Internet des Objetssont nombreux et protéiformes :
– la sécurité physique et digitale des objets et dispositifs,
– la protection des données à caractère personnel ou stratégique, et donc lerisque juridique et financier conséquent,
– le cadre législatif (notamment le RGPD),
– l’impact environnemental,
– les risques sanitaires,
– la problématique des grands industriels inhérente au cycle de déploiement,
– la multiplicité des produits,
– le manque d’homogénéité des réseaux,
– l’inutilité programmée des objets gadgets.
© E
dit
ions
EN
I -
All r
ights
rese
rved
54Maximisez les opportunités et minimisez les risques
IoT & RGPD
2.1 Intrusion et collecte de données
La collecte des données est probablement l’une des plus importantes problé-matiques à laquelle doit et devra faire face l’IoT, dans un souci de transparenceet de sécurité. La CNIL et l’Europe s’emparent de plus en plus de cette problé-matique, notamment via l’entrée en vigueur, le 25 mai 2018, du RèglementGénéral sur la Protection des Données dit RGPD.
Comme le précise Vincent Strubel de l’ANSI (Agence Nationale de la Sécuritédes Systèmes d’Information), dans son dernier rapport intitulé Cybersécuritédes objets connectés, lesdits objets sont « des cibles de choix pour la cap-tation de données » (http://cedric.cnam.fr/workshops/iot-cybersecurite-cy-berdefense/Presentation_ANSSI.pdf).
2.1.1 Les différentes typologies de risques
On peut noter la manipulation de données sensibles à haute valeur comme lesdonnées à caractère personnel (données personnelles et données de santé), lesmoyens de paiement (numéros de cartes bancaires) ou encore, l’identité nu-mérique d’une personne.
Ces données sont soit stockées localement, soit transmises à un tiers sur uncloud pour conservation et/ou traitement. Dans les deux cas de figure, cesdonnées sont vulnérables. Des hackers sont dès lors en mesure de pénétrerdans les objets et dispositifs connectés avec pour finalité, le vol de donnéespersonnelles des utilisateurs.
L’autre point relativement peu évoqué est le détournement de l’usage tradi-tionnel initialement prévu des capteurs intégrés que sont la caméra, le microou encore l’accès au réseau.
La manipulation de données sensibles, comme le détournement de l’usage pré-vu des objets connectés, peut avoir « des conséquences potentiellementdramatiques en cas de sabotage » comme le souligne Vincent Strudel(http://cedric.cnam.fr/workshops/iot-cybersecurite-cyberdefense/Presentation_ANSSI.pdf).
55Risques et solutionsChapitre 2
De nombreux exemples commencent à apparaître dans la presse, comme ledétournement de voitures connectées, l’accès à un pacemaker ou d'autres ob-jets connectés à usage médical en mesure d’agir sur la vie humaine de l’utilisa-teur.
L’usage de plus en plus important des objets connectés dans des in-frastructures critiques, assurant la protection des biens ou des per-sonnes (caméras, serrures…), nécessite de s’assurer de la parfaitesécurité et innocuité desdits objets, au regard du risque qu’une intru-sion ou une utilisation malveillante puisse être effectuée.
Comme le soulignait le Premier ministre Manuel Valls dans le rapport Straté-gie Nationale pour la sécurité du Numérique (https://www.ssi.gouv.fr/uploads/2015/10/strategie_nationale_securite_numerique_fr.pdf p.3), « répondre auxenjeux de sécurité du monde numérique est un facteur clé de succès collectif ».Or, Vincent Strubel, dans son rapport, indique que les objets sont globale-ment peu supervisés par les entreprises. « Peu ou pas de mises à jour de sé-curité, de détection des attaques et des objets peu surveillés »,découlant sur un possible accès physique à l’objet par des attaquants auxconséquences potentiellement dramatiques.
De façon générale, aujourd’hui encore, les entreprises allouent peu de res-sources pour la sécurité des objets connectés dont le niveau de sécurité estpourtant très faible. Par exemple, lors de l’envoi de données sensibles vers uncloud, le niveau de sécurisation est généralement très faible (authentificationet encryptage simples).
2.1.2 La sécurité et la protection des données personnelles
La Commission Nationale de l'Informatique et des Libertés, la CNIL, est encharge de veiller à ce que l’informatique soit au service du citoyen et qu’elle neporte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie pri-vée, ni aux libertés individuelles ou publiques.
© E
dit
ions
EN
I -
All r
ights
rese
rved
56Maximisez les opportunités et minimisez les risques
IoT & RGPD
Elle s’est emparée du sujet dans sa lettre innovation et perspective n°4. Elle déclareen effet que « ces nouveaux objets et services créent et stockent (souvent enligne d’ailleurs) de nouvelles données personnelles et tracent nos activitésquotidiennes, dont certaines assez sensibles, et cherchent à créer de la valeurpar différents modèles économiques qui sont loin d’être neutres sur le plan del’exploitation et de l’agrégation de données » (source : https://www.cnil.fr/sites/default/files/typo/document/Lettre_IP_N4.pdf, p. 4).
2.1.3 Les préoccupations sécuritaires
Le second élément pertinent à noter dans cette étude Navigating the Internet ofThings de VDC Research, est le classement alarmant des préoccupations ma-jeures des entreprises qui conçoivent des objets connectés ou utilisent l’Inter-net des Objets, en interne ou en externe.
En effet, arrive en tête dudit classement des préoccupations majeures,l’aspect coût de développement et d’utilisation dudit objet, puis seu-lement en seconde position, l’aspect sécuritaire, pourtant capital!
Pour que l’Internet des Objets soit éventuellement incontournable pourtoutes les entreprises et qu’il puisse représenter une opportunité et non unemenace, il est crucial que cet aspect sécuritaire soit au cœur des préoccupa-tions des concepteurs et des utilisateurs. Car profiter des opportunités n’estpossible que si les risques sont minimisés.
Suivent ensuite la volonté d’une mise sur le marché, ou l’utilisation et l’exploi-tation rapide du ou des objets, et enfin l’optimisation des performances del’entreprise.
Selon une autre étude, à savoir celle de Hewlett Packard intitulée Internet ofThings – Research study, il convient de mettre en évidence l’insuffisance d’au-thentification et d’autorisation, le manque d’encryptage lors de l’échanged’informations et des interfaces web softwares et firmwares (microcode logi-ciel doté de la faculté de piloter le matériel auquel il est associé) insuffisam-ment sécurisées.
Source : Etude Internet of Things Research study, Hewlett Packard, 2015, p.5.https://www.hpe.com/h20195/v2/GetPDF.aspx/4AA5-4759ENN.pdf
