Page 37 - revue_N21 - decembre 2017
P. 37
partiellement le système infor- les utilisateurs qui risquent de concerne la collecte et l’utilisa-
matique d’une cible (chiffrement payer ce manque de vigilance. tion de données à caractère per-
du contenu d’un disque par sonnel. Cette protection offerte
exemple). Une procédure est Parmi les solutions de sécurisa- à chaque individu trouve toute-
proposée à la victime (reposant tion avancées, on peut citer l’ac- fois sa limite dès que celui-ci a
sur le paiement d’une rançon) tion des plateformes de « bug manifesté son consentement
18
afin de remettre le système in- bounty » qui permet de contrô- même implicitement (exemple :
formatique dans son état initial. ler avant commercialisation si l’inscription aux réseaux sociaux
les objets connectés contiennent
Ce mode opératoire est facilité des failles de sécurité. Le re- comme Facebook, …).
par la présence de milliards cours à ces plateformes large- La question du consentement est
d’objets connectés dont la ma- ment développées aux États Unis un enjeu fort. Celle-ci va être
jeure partie ne dispose pas d’un par des grandes entreprises amenée à évoluer prochaine-
protocole facilitant la mise à comme Microsoft pourraient ment dans le cadre du règlement
jour du code embarqué en cas l’être également en France et en européen RGPD qui vise à ren-
de détection de vulnérabilité. Europe. Elles pourraient ainsi forcer le consentement avec no-
Contrairement aux ordinateurs contribuer à sécuriser le marché tamment la possibilité pour les
(tablettes, Smartphones), qui s’ap- des objets connectés à la condi- utilisateurs finaux de le retirer à
puient sur des équipes d’ingé- tion d’être labellisées par l’ANSSI tout moment.
nieurs assurant le suivi, le test et par exemple. Le responsable du traitement
la distribution rapide de correctifs devra néanmoins respecter de
sur les bugs et les vulnérabilités D’autres méthodes sont préconi- son côté les principes imposés
constatées, rares sont les objets sées comme celles proposées par la loi (proportionnalité, per-
connectés (caméras, système par OWASP Internet of Things tinence, durée et finalité) ainsi
19
d’éclairage, montres, ..) disposant project pour faciliter la prise que l’obligation de déclaration à
de ce type de plateforme de suivi, en compte des problèmes de sé- la CNIL ou la demande d’autori-
de facilité de mise à jour et de ré- curité des objets connectés. sation pour les traitements les
ponse en cas de piratage. Il est également urgent de mettre plus sensibles.
Cette fragilité technique et orga- en place un référentiel de sécuri- En outre, les opérateurs écono-
nisationnelle des objets connec- té auxquels pourront se confor- miques vont se voir imposer, par
tés sera de plus en plus exploi- mer les industriels et les fabri- le RGPD, une obligation de pro-
tée par les cybercriminels pour cants d’objets connectés afin téger la vie privée dès la concep-
bloquer ces objets ou voler les d’instaurer la confiance. Cette tion (Privacy by Design). Il s’agit
données captées par ces der- confiance ne peut être obtenue ainsi d’intégrer la protection des
niers. Le fabricant de téléviseurs que si les industriels et les fabri- données dès la conception des
LG a subi ce type d’attaque en cants d’objets connectés intè- systèmes et des programmes
décembre 2016. Certains pro- grent le concept de « security by informatiques. Ce règlement im-
priétaires de cette marque de design » (sécurité dès la concep- plique également que les déve-
smart TV ont vu leur téléviseur tion) dans leur processus de dé- loppeurs s’imposent de ne pas
bloqué avec une demande de ran- veloppement. Ce concept impose recueillir de données sans lien
çon de 500 $. On s’achemine dan- la réflexion sur la sécurité dès la avec le service rendu.
gereusement vers une nouvelle conception des produits. C’est
variante des Ransomwares : le ran- une nouvelle culture à intégrer Il s’avère donc nécessaire
somware of things (RoT). dans la formation des dévelop- d’adapter la règlementation au
peurs et dans les ateliers de con- moins au niveau européen, de
ii. Quelles solutions de sécu- ception des objets. sensibiliser les consommateurs
rité pour les objets connectés ?
aux usages et aux risques liés
Malheureusement, selon le pre- B. Objets connectés et le aux objets connectés, de renfor-
mier rapport de la délégation droit cer les règles en matière de con-
17
ministérielle aux industries de sentement des utilisateurs et de
sécurité et à la lutte contre les i. Protection des données valoriser les bonnes pratiques
cyber menaces (DMISC), la sécu- Sur le plan juridique, la loi des entreprises. Il faudrait égale-
rité des objets connectés ne « informatique et libertés » du 6 ment mener une réflexion sur la
constitue pas une préoccupation janvier 1978 pose un cadre qui mise en place d’une notation «
réelle des industriels et ce sont est toujours d’actualité en ce qui Empreinte numérique » (type
37
N 32– Décembre 2017
°
