Données

Internet des objets, cybercriminalité et cybersécurité

Le développement exponentiel attendu de l’internet des objets va faire évoluer les cybermenaces et appelle de nouvelles ripostes. Le RGPD offre une réponse juridique aux évolutions technologiques récentes.

IOT

L'auteur

Pour en savoir plus

image
  • tableau 1

    tableau 1

Revue de l'article

Cet article est extrait de
Banque & Stratégie n°383

Cybersécurité : des menaces nouvelles et des réponses innovantes

L'internet des objets (Internet of Things – IoT) [1] désigne la « connexion » et le dialogue de ces objets entre eux dans un réseau plus vaste. En raison de leur capacité à collecter et à envoyer des informations tout en se déplaçant, les objets connectés nous font entrer dans l’ère de l’hyperconnexion [2]. L’internet des objets est une technologie disruptive qui nécessite de nouvelles réponses, à la fois juridiques et éthiques.

Comme tous les usages numériques, les objets connectés sont ambivalents : ils sont à la fois prometteurs pour l’économie, notamment pour les usages bancaires et de paiement, mais ils présentent des vulnérabilités.

Les réseaux numériques ont contribué à augmenter la surface d’attaques et le champ d’action des cybercriminels ; les objets connectés, par exemple, peuvent y contribuer, en ce qu'ils deviennent incontournables dans notre quotidien tout en étant la cible de nombreuses menaces numériques.

En effet, en 2020, il y aura entre 50 et 80 milliards d’objets connectés en circulation dans le monde [3], générant une valeur ajoutée totale de 8 900 milliards de dollars, soit plus de 10 % du produit mondial brut. Cette course frénétique à l’innovation est accueillie avec grand enthousiasme par tous ceux qui, particuliers, États ou entreprises, aspirent à tout mesurer, connecter et automatiser, afin de créer ou améliorer les services associés.

Néanmoins, il apparaît que les constructeurs ont trop souvent négligé la sécurité des dispositifs connectés et de leurs infrastructures, visant seulement un profit immédiat.

Internet des objets et cyber-risques

Les cybercriminels commettent des délits à la fois informatiques et plus classiques, comme les fraudes et les escroqueries, avec des effets démultipliés par le numérique. Les États, organisations ou individus peuvent également être à l’origine d’attaques profondément déstabilisatrices pour la continuité de la vie économique et sociale. Les cybermenaces apparaissent désormais comme des risques avérés pour tous les acteurs économiques.

Il est essentiel de cartographier les risques liés à une utilisation mal maîtrisée des objets connectés. En effet, les attaques [4] visent de plus en plus les objets connectés et les systèmes industriels souvent interconnectés avec les clients et les sous-traitants. Les objets connectés peuvent être utilisés pour constituer des botnets [5] et les programmes malveillants s'en servent pour en faire des machines zombies [6], permettant des attaques informatiques par déni de service distribué qui s'appuient sur la capacité de plusieurs appareils [7].

Ainsi, il faut avoir conscience qu’une faille de sécurité peut entraîner une perte massive de données pouvant nuire aux acteurs de l’IoT, qu’ils soient concepteurs ou utilisateurs.

L’accès illégal aux informations stockées ou échangées compromet le fonctionnement de l’objet, avec des conséquences diversement dommageables selon son domaine d’application (santé, industrie, smart véhicles, smart cities…). Les atteintes à la vie privée et à la personne peuvent se produire par le biais de caméras et enceintes connectées qui détournent des données de comportement et de déplacement. La dépendance technologique vis-à-vis des systèmes d’exploitation dominants peut s’avérer complexe pour les concepteurs, qui sont le plus souvent des start-up.

La prise de contrôle très médiatisée d’un véhicule par le biais d’un autoradio connecté a mis en avant les risques de sûreté liés aux solutions connectées. En effet, des chercheurs ont réussi à compromettre un thermostat à distance et à bloquer son fonctionnement, dans une situation qui contraindrait les propriétaires à s’acquitter d’une rançon pour en récupérer le contrôle. Autre exemple, selon Microsoft, un groupe de hackers russes tente de s'infiltrer dans différentes entreprises par le biais des objets connectés internes. Selon Julian Madiot, « cette tactique, mise en œuvre depuis avril 2019, aurait eu pour premières cibles des téléphones, des imprimantes et des décodeurs vidéo » [8]. Ce scénario de cyberattaque contre un objet connecté ne relève pas uniquement de la fiction.

Sécurisation des objets connectés et RGPD

Les objets connectés sont donc des cibles et des vecteurs de cyberattaques qui appellent des réponses à la fois technologiques et juridiques. La stratégie est complexe à mettre en place car l'IoT est synonyme de connectivité tentaculaire, multiples traitements et stockages sur plate-forme ou cloud. Les mesures pour protéger les données doivent être identifiées pour être déployées sur l'ensemble de la chaîne, des fournisseurs de service aux opérateurs, en passant par les fabricants d'appareils.

Il convient de favoriser le développement en toute sécurité pour les consommateurs du marché de l’IoT. La sécurité des informations échangées et conservées, véritable moteur de la confiance, est essentielle pour garantir la confidentialité des données issues des objets connectés [9], mais aussi leur intégrité et leur disponibilité.

Le Règlement général de protection des données (RGPD) fournit un cadre législatif pour renforcer la protection des données personnelles. Ce dernier permet de limiter la quantité de données que les wearables [10] et autres objets connectés accumulent et traitent. Il est également possible de récupérer ses données et de demander qu’on les efface. Enfin, les fabricants doivent assurer qu’elles sont en sécurité : les transferts de données, par exemple, doivent être chiffrés.

En cas de non-respect du RGPD, les entreprises risquent jusqu’à 4 % de leur chiffre d’affaires annuel ou un montant fixe d’amende, ce qui est loin d’être négligeable. Il est très important, pour les fabricants d’objets connectés, de garantir que l’ensemble de leur écosystème respecte le même standard de protection des données. D’ailleurs, plusieurs fabricants ont décidé d’adopter une approche proactive afin de réduire toute collecte excessive de données et d’adopter les meilleures pratiques sur l’ensemble des marchés.

Il convient de vérifier la légalité du projet IoT (droits fondamentaux, règles spécifiques, cadre légal applicable…), de lever les éventuels freins juridiques (demandes d’autorisation nécessaires) et de gérer la conformité au RGPD.

La notion de privacy by design correspond à la protection des données personnelles des utilisateurs. Cette approche permet d’assurer la conformité des traitements de données à caractère personnel en adoptant, dès la conception et par défaut, des mesures organisationnelles et techniques appropriées pour garantir la protection de la vie privée et des libertés fondamentales. Le RGPD a créé un cadre renforcé et harmonisé de la protection des données tenant compte des récentes évolutions technologiques (Big Data, objets connectés, Intelligence artificielle) et des défis qui accompagnent ces évolutions. L’individu est placé au cœur du dispositif légal et voit ainsi ses droits renforcés (consolidation des obligations d’information, restrictions en termes de recueil de consentement, nouveau droit à la portabilité des données, à l’effacement, etc.).

Sous l’impulsion du RGPD sont également consolidés les devoirs et responsabilités de toute la chaîne d’acteurs, du responsable de traitement aux partenaires commerciaux, en passant par les sous-traitants fournisseurs de services. Chaque entreprise doit se doter d’une politique de protection des données globale en s’assurant, dès le moment de la conception, que le nouveau service qu’elle s’apprête à lancer sur le marché et qui va lui permettre de collecter des données est bien conforme à la réglementation.

Il s’agit de responsabiliser chaque acteur en l’obligeant à s’engager dans une démarche globale vertueuse visant à la protection de la vie privée. Les sanctions, elles aussi, se renforcent. Alors qu’il y a peu, la Cnil ne pouvait aller au-delà d’une amende de 150 000 euros, elle peut désormais infliger des sanctions pouvant s’élever à 20 millions d’euros et 4 % du chiffre d’affaires mondial… Les sanctions pénales en cas de manquement aux règles en matière de protection des données sont déjà prévues en droit français et réprimées par les articles 226-16 à 226-24 du Code pénal (voir Tableau 1).

En outre, il existe des solutions de security by design, à savoir l'intégration de la sécurité dès la phase de conception.

On assiste au développement de nombreux guides de bonnes pratiques [11], destinés à favoriser un usage plus adapté des objets connectés, sans diffuser les données personnelles [12] tout en réduisant au maximum les cyber-risques.

Il est indispensable de développer des standards communs, ce qui apparaît comme l’une des solutions pour sécuriser les objets connectés. La blockchain, technologie de stockage et de transmission d’informations, transparente, sécurisée, et fonctionnant sans organe central de contrôle, ouvre également des perspectives d’échanges de flux peer to peer entre objets connectés, sans passer par un serveur central. La blockchain permet également à l’utilisateur de mieux protéger sa vie privée, en ayant un meilleur contrôle de ses données.

Innovation

Les potentialités de l’IoT sont donc immenses, de même que ses enjeux, comme en témoigne l’investissement des États à travers, par exemple, la stratégie développée [13] par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) qui s’inscrit véritablement dans une coopération public-privé renforcée et pluridisciplinaire. L’ANSSI s’investit ainsi dans le logiciel libre [14], pour élaborer des solutions adaptées à de nouveaux cas d’usage [15] des objets connectés en sécurisant les composants de base. Dans un contexte où la transformation digitale intègre des services de plus en plus critiques, comme la finance où l’enjeu de sécurité est majeur, la réussite de l’internet des objets doit désormais allier innovation et sécurisation.

 

 

 

[1] M. Quéméner, Le Droit face à la disruption numérique, 2018, Lextenso Gualino.

[2] L. Marino, To be or not to be connected : ces objets connectés qui nous espionnent, Recueil Dalloz 2014, p. 29.

[3] Étude Gartner et de l’Idate (Institut de l’audiovisuel et des télécommunications en Europe).

[4] Rapport « L’état de la menace liée au numérique en 2019 », ministère de l’intérieur : https://www.interieur.gouv.fr/Actualites/Communiques/L-etat-de-la-menace-liee-au-numerique-en-2019.

[5] Terme générique qui désigne un groupe d’ordinateurs infectés et contrôlés par un pirate à distance.

[6] Une machine zombie est un ordinateur contrôlé à l'insu de son utilisateur par un cybercriminel. Ce dernier l'utilise alors le plus souvent à des fins malveillantes, par exemple pour attaquer d'autres machines en dissimulant sa véritable identité.

[7] Le déni de service distribué (Distributed DoS – DDoS) est une attaque de DoS ayant plusieurs origines distinctes.

[8] Julian Madiot, « Les objets connectés dans le viseur d'un groupe de hackers russes », 6 août 2019 : https://www.logitheque.com/articles/les_objets_connectes_dans_le_viseur_d_un_groupe_de_hackers_russes_3442.htm.

[9] G. Haas, J.-P. Crenn et M. Quéméner, L’Internet des objets : la 3e révolution informatique, 2017, Kawa.

[10] L'informatique vestimentaire (wearable) désigne les appareils électroniques qui, capables de stocker et de traiter des données, sont intégrés aux vêtements ou accessoires de la personne qui les porte.

[11] https://www.cybermalveillance.gouv.fr/wp-content/uploads/2019/06/memo-appareils-mobiles.pdf.

[12] https://www.ssi.gouv.fr/.

[13] G. Poupard, « Le modèle français de cybersécurité et de cyberdéfense », Revue internationale et stratégique, 110(2), 2018, pp. 101-108.

[14] Logiciel dont l'utilisation, l'étude, la modification et la duplication par autrui en vue de sa diffusion sont permises, techniquement et légalement, ceci afin de garantir certaines libertés induites, comme le contrôle du programme par l'utilisateur et la possibilité de partage entre individus.

[15] https://www.ssi.gouv.fr/actualite/la-securite-des-objets-connectes-cest-possible-avec-le-logiciel-libre-la-preuve-avec-le-projet-wookey/.

 

Sommaire du dossier

Des menaces nouvelles et des réponses innovantes

Articles du(des) même(s) auteur(s)

Sur le même sujet