Cybersécurité : « Nous sommes mal armés face à la déferlante des objets connectés »

A l’occasion de la journée CAP sur l’innovation, organisée par Cap’Tronic lundi 21 septembre, des experts ont partagé leur point de vue sur les problématiques de sécurité engendrées par les objets connectés et les bonnes pratiques à adopter en la matière. Au menu des discussions : le besoin d'établir un système de labellisation ou de "crash test" pour les objets connectés.

Partager
Cybersécurité : « Nous sommes mal armés face à la déferlante des objets connectés »
La table ronde "Sécurité des systèmes connectés : quelles bonnes pratiques adopter?" réunissait Guillaume Poupard (Anssi), Bernard Barbier (Capgemini), Pierre Girard (Gemalto) et Alain Merle (CEA-Leti)

Un milliard de dollars. C’est ce qu’aurait coûté au constructeur automobile Fiat Chrysler le rappel de 1,4 million de véhicules pour effectuer une mise à jour de leur système informatique embarqué après le piratage d’un modèle Jeep Cherokee par deux chercheurs. Moralité : « La sécurité d’un objet connecté doit être prise en compte dès sa conception car même si une politique de sécurité a un coût, ne pas en avoir peut coûter encore plus cher » a martelé Pierre Girard, expert en solutions de sécurité chez Gemalto, lors d’une table ronde intitulée "Sécurité des systèmes connectés : quelles bonnes pratiques adopter ?".

Organisée lundi 21 septembre dans le cadre de la journée CAP sur l’innovation de Cap’Tronic, cette session d’échanges a été l’occasion de faire le point sur les problématiques de sécurité engendrées par la vague des objets connectés. Pour Bernard Barbier, responsable de la sécurité des systèmes d’information pour le groupe Capgemini, également invité à la table ronde, le constat est sans appel : « Avec les objets connectés, la surface d’attaque est en train d’être multipliée par 2, par 3, voire par 4 ».

Vers une cryptographie homomorphe

Une inquiétude partagée par Alain Merle, responsable des programmes sécurité au CEA-Leti. « Nous sommes mal armés face à cette déferlante » a-t-il reconnu lors de la même table ronde. L’expert pointe notamment du doigt les limites de la cryptographie en rappelant qu’il ne s’agit pas « d’une solution miracle et qu’un algorithme de cryptographie peut être cassé ». « La cryptographie consiste à remettre toute la sécurité sur un élément particulier qui s’appelle généralement la clé. Or, la vague des objets connectés pose la question de la gestion de ces clés. Compte tenu des facteurs d’échelle, un industriel qui vend des objets connectés devra s’interroger sur la distribution de ces clés et sur leur mise à jour », explique l’expert.

Pour surmonter cet écueil, l’une des pistes étudiées repose sur la cryptographie homomorphe, qui permet de réaliser des opérations sur des données cryptées sans devoir les décrypter. Grâce à cette technique, un utilisateur peut donc envoyer des données cryptées dans le Cloud où elles pourront être traitées sans être décryptées. « Cette technologie n’en est qu’à l’étape du prototype et nécessite encore de la R&D pour atteindre le stade de solution », précise toutefois le chercheur. Une autre solution repose sur le développement de nouveaux protocoles permettant de générer des clés temporaires. « Ainsi, même si un pirate parvenait à casser une clé, celle-ci ne serait plus en fonction au moment de la découverte » détaille Alain Merle, pour qui la problématique de la sécurité des objets connectés est aussi importante dans le monde B2C que dans le monde B2B.

Un crash test pour les objets connectés

Lors de la table ronde, les experts se sont accordés sur un autre point : un système de labellisation permettrait aux entreprises de mieux s’armer pour faire face à ces nouvelles menaces. Une voie sur laquelle s’est déjà lancée l’Agence nationale de la sécurité des systèmes d’information (Anssi). « Nous cherchons à qualifier des opérateurs de Cloud pour permettre aux PME de se diriger vers des acteurs labellisés » a rappelé Guillaume Poupard, le directeur général de l’Anssi invité à la table ronde. «Un système de certification permettrait de confronter les objets connectés à l’état de l’art des attaques » estime Alain Merle. L’expert précise que le CEA-Leti s’est également lancé dans cette démarche « Nous avons ouvert un laboratoire d’évaluation de la sécurité dès le début des années 2000. Il était centré sur des objets de très haute sécurité comme les cartes à puce ou les cartes bancaires, mais nous travaillons aujourd’hui à élargir cette offre aux objets connectés et aux systèmes industriels ». Pour Pierre Girard, l’idéal serait de mettre au point un système de "crash test" que l’on retrouve dans le monde automobile. « Cela permettrait aux entreprises d’acheter en toute connaissance de cause », explique-t-il.

Enfin, le facteur humain s’est imposé à plusieurs reprises au cours des échanges. « On s’est trompé en voulant tout miser sur la technologie. En matière de cybersécurité, la technique c’est 60 % et l’humain 40 % » a affirmé Bernard Barbier. « Le métier de Responsable de la sécurité des systèmes d'information (RSSI) n’est plus un métier technique mais un métier de gouvernance, voire de RH car il y a une réelle mission de formation et de sensibilisation » a-t-il poursuivi. Un message que ne contredira pas le directeur de l’Anssi qui s’est présenté à la table ronde avec un guide des bonnes pratiques à destination des PME, dans lequel 12 recommandations sont énumérées, comme le choix des mots de passe, l’accès au Wi-Fi ou encore les politiques de Bring your own device (BYOD).

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER La Quotidienne

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

LES ÉVÉNEMENTS L'USINE NOUVELLE

LES PODCASTS

Les recettes de l'horlogerie suisse

Les recettes de l'horlogerie suisse

Nouveau

Dans ce nouvel épisode de La Fabrique, notre journaliste Gautier Virol nous dévoile les coulisses de son reportage dans le jura suisse au coeur de l'industrie des montres de luxe. 

Écouter cet épisode

Le rôle des jeux vidéo dans nos sociétés

Le rôle des jeux vidéo dans nos sociétés

Martin Buthaud est docteur en philosophie à l'Université de Rouen. Il fait partie des rares chercheurs français à se questionner sur le rôle du jeu vidéo dans nos...

Écouter cet épisode

Les coulisses d'un abattoir qui se robotise

Les coulisses d'un abattoir qui se robotise

Dans ce nouvel épisode de La Fabrique, Nathan Mann nous dévoile les coulisses de son reportage dans l'abattoir Labeyrie de Came, dans les Pyrénées-Atlantiques, qui robotise peu à peu...

Écouter cet épisode

La renaissance des montres Kelton

La renaissance des montres Kelton

Le designer Vincent Bergerat donne une nouvelle vie aux montres Kelton. Dans ce nouvel épisode du podcast Inspiration, il explique au micro de Christophe Bys comment il innove et recrée l'identité...

Écouter cet épisode

Tous les podcasts

LES SERVICES DE L'USINE NOUVELLE

Trouvez les entreprises industrielles qui recrutent des talents

BUREAU VERITAS

Auditeur QSE (F-H-X)

BUREAU VERITAS - 23/06/2022 - CDI - Lille

+ 550 offres d’emploi

Tout voir
Proposé par

Accédez à tous les appels d’offres et détectez vos opportunités d’affaires

13 - SEMISAP

Entretien des réseaux d'assainissement du patrimoine immobilier de la SEMISAP

DATE DE REPONSE 01/01/1970

+ de 10.000 avis par jour

Tout voir
Proposé par

ARTICLES LES PLUS LUS