Cybersécurité : « Nous sommes mal armés face à la déferlante des objets connectés »
A l’occasion de la journée CAP sur l’innovation, organisée par Cap’Tronic lundi 21 septembre, des experts ont partagé leur point de vue sur les problématiques de sécurité engendrées par les objets connectés et les bonnes pratiques à adopter en la matière. Au menu des discussions : le besoin d'établir un système de labellisation ou de "crash test" pour les objets connectés.
Un milliard de dollars. C’est ce qu’aurait coûté au constructeur automobile Fiat Chrysler le rappel de 1,4 million de véhicules pour effectuer une mise à jour de leur système informatique embarqué après le piratage d’un modèle Jeep Cherokee par deux chercheurs. Moralité : « La sécurité d’un objet connecté doit être prise en compte dès sa conception car même si une politique de sécurité a un coût, ne pas en avoir peut coûter encore plus cher » a martelé Pierre Girard, expert en solutions de sécurité chez Gemalto, lors d’une table ronde intitulée "Sécurité des systèmes connectés : quelles bonnes pratiques adopter ?".
Organisée lundi 21 septembre dans le cadre de la journée CAP sur l’innovation de Cap’Tronic, cette session d’échanges a été l’occasion de faire le point sur les problématiques de sécurité engendrées par la vague des objets connectés. Pour Bernard Barbier, responsable de la sécurité des systèmes d’information pour le groupe Capgemini, également invité à la table ronde, le constat est sans appel : « Avec les objets connectés, la surface d’attaque est en train d’être multipliée par 2, par 3, voire par 4 ».
Vers une cryptographie homomorphe
Une inquiétude partagée par Alain Merle, responsable des programmes sécurité au CEA-Leti. « Nous sommes mal armés face à cette déferlante » a-t-il reconnu lors de la même table ronde. L’expert pointe notamment du doigt les limites de la cryptographie en rappelant qu’il ne s’agit pas « d’une solution miracle et qu’un algorithme de cryptographie peut être cassé ». « La cryptographie consiste à remettre toute la sécurité sur un élément particulier qui s’appelle généralement la clé. Or, la vague des objets connectés pose la question de la gestion de ces clés. Compte tenu des facteurs d’échelle, un industriel qui vend des objets connectés devra s’interroger sur la distribution de ces clés et sur leur mise à jour », explique l’expert.
Pour surmonter cet écueil, l’une des pistes étudiées repose sur la cryptographie homomorphe, qui permet de réaliser des opérations sur des données cryptées sans devoir les décrypter. Grâce à cette technique, un utilisateur peut donc envoyer des données cryptées dans le Cloud où elles pourront être traitées sans être décryptées. « Cette technologie n’en est qu’à l’étape du prototype et nécessite encore de la R&D pour atteindre le stade de solution », précise toutefois le chercheur. Une autre solution repose sur le développement de nouveaux protocoles permettant de générer des clés temporaires. « Ainsi, même si un pirate parvenait à casser une clé, celle-ci ne serait plus en fonction au moment de la découverte » détaille Alain Merle, pour qui la problématique de la sécurité des objets connectés est aussi importante dans le monde B2C que dans le monde B2B.
Un crash test pour les objets connectés
Lors de la table ronde, les experts se sont accordés sur un autre point : un système de labellisation permettrait aux entreprises de mieux s’armer pour faire face à ces nouvelles menaces. Une voie sur laquelle s’est déjà lancée l’Agence nationale de la sécurité des systèmes d’information (Anssi). « Nous cherchons à qualifier des opérateurs de Cloud pour permettre aux PME de se diriger vers des acteurs labellisés » a rappelé Guillaume Poupard, le directeur général de l’Anssi invité à la table ronde. «Un système de certification permettrait de confronter les objets connectés à l’état de l’art des attaques » estime Alain Merle. L’expert précise que le CEA-Leti s’est également lancé dans cette démarche « Nous avons ouvert un laboratoire d’évaluation de la sécurité dès le début des années 2000. Il était centré sur des objets de très haute sécurité comme les cartes à puce ou les cartes bancaires, mais nous travaillons aujourd’hui à élargir cette offre aux objets connectés et aux systèmes industriels ». Pour Pierre Girard, l’idéal serait de mettre au point un système de "crash test" que l’on retrouve dans le monde automobile. « Cela permettrait aux entreprises d’acheter en toute connaissance de cause », explique-t-il.
Enfin, le facteur humain s’est imposé à plusieurs reprises au cours des échanges. « On s’est trompé en voulant tout miser sur la technologie. En matière de cybersécurité, la technique c’est 60 % et l’humain 40 % » a affirmé Bernard Barbier. « Le métier de Responsable de la sécurité des systèmes d'information (RSSI) n’est plus un métier technique mais un métier de gouvernance, voire de RH car il y a une réelle mission de formation et de sensibilisation » a-t-il poursuivi. Un message que ne contredira pas le directeur de l’Anssi qui s’est présenté à la table ronde avec un guide des bonnes pratiques à destination des PME, dans lequel 12 recommandations sont énumérées, comme le choix des mots de passe, l’accès au Wi-Fi ou encore les politiques de Bring your own device (BYOD).
Sélectionné pour vous
