in

Comment les industriels vont devoir se préoccuper du Security by Design de leurs objets domestiques connectés

Très doucement, depuis des mois, les acteurs indépendants et souverains de la cyber sécurité annoncent timidement le déclin de la sûreté des sociétés en raison de l’invasion des IoT domestiques et professionnels dans la vie courante. Ces derniers sont annoncés comme étant dénués de toutes notions de sûreté et de sécurité numérique.Le premier responsable est le législateur bien averti, quel qu’il soit, et d’autre part les organisations internationales qui définissent les standards internationaux et qui n’arrivent pas à se mettre d’accord sur un minimum de normes. La Security by Design, le Fuzzing, le pentest sont de jolis mots qui ne sont entendus que par les 250 premiers industriels mondiaux, respectivement leader sur leur marché. Cela va d’Apple en passant par Samsung ou Lockheed Martin… ils sont peut-être aussi leader parce qu’ils font de la Security by Design depuis des années ainsi que du fuzzing industriel à très haut niveau.

Une montre connectée à 100 millions de dollars

Une récente étude a voulu démontrer les effets de bord provoqués par une montre connectée, fabriquée par l’un des leaders de l’horlogerie suisse, qui n’a pas été pensée dans une démarche de Security by Design. L’horloger pense fabriquer pour quelques milliers de dollars un petit bijou de technologie, mais qui va en réalité lui en coûter des millions.
Cette montre est développée sur le système d’exploitation Android destinée à être vendue sur le marché américain, à un citoyen américain, qui plus est californien, et qui roule en Tesla, symbole de la voiture connectée. Cette montre peut coûter 100 millions de dollars, car une cyber attaque pourrait utiliser la montre pour pénétrer le système de la voiture et prendre ainsi le contrôle du véhicule. Le programme malveillant va ainsi diriger la voiture contre un arbre et le conducteur y perdra la vie. Quelque temps plus tard – dans ce pays le plus procédurier du monde -, l’assurance et les héritiers vont chercher un responsable, tiers pour réclamer des indemnités. Cette note peut coûter 100 millions de dollars, car c’est ce que coûte une victime en Californie, décédée par un objet commun transformé en arme par destination.
Comment l’horlogerie suisse peut-elle anticiper un tel effet de bord ? Ce fleuron de l’industrie fabrique des montres, pas de la sûreté informatique. Il ne connaît pas la cyber sécurité et heureusement, sans quoi ses montres ne seraient pas aussi fantastiques et reconnues comme parmi les meilleures du monde. Cela vaut pour les fabricants d’électroménagers, de machines agricoles, de SCADA industriels destinés à la fabrication de médicaments, de solutions chimiques… C’est sans fin.

Quels risques cache réellement l’IoT ?

Alors, quid de cette histoire imaginée et pourtant pas très compliquée à reproduire ? Il faut entendre que chaque objet connecté produit dans le monde rentre dans une chaîne corollaire qui peut provoquer à son niveau un chaos irréversible et terrible. Là où les armes sont en vente libre, c’est là où il y a le plus de tués par arme à feu. Là où les IoT agiront sur des équipements sensibles, même un four et sa fonction de pyrolyse, c’est là où on introduit le risque dans le coeur de la société civile, le foyer du consommateur, l’économie des services et l’industrie dans ce qu’elle a de plus pérenne, sérieux, solide et fondamental. Ce ne sont pas les petits exemples qui manquent dans la presse quotidienne pour relever une anecdote d’une peluche qui parle aux enfants de façon détournée ou d’un service vocal qui commande toutes les poupées disponibles chez Amazon… sans qu’il y ait eu un clic.
On en rigole et c’est presque mignon. On rigole moins quand on commence à prévenir qu’il faudra un mort dans la société civile pour que le législateur réagisse. G. Poupard, Directeur général de l’ANSSI en France, le rappelait très bien au FIC (Forum International de la Cybersécurité) : « si on ne siffle pas la fin de la récré maintenant, on ne va pas rigoler demain ».

Appelons les organismes de normalisation et le législateur européen à agir.

Il est temps d’éveiller les acteurs du droit pour imposer un minimum de sûreté numérique dans les IoT, grand public ou industriel, avant que le drame arrive. Dans la continuité de la GDPR (General Data Protection Regulation) qui est la première loi européenne qui défend enfin l’identité digitale du citoyen. C’est une question de vie ou de mort, c’est une question de temps et c’est une question de « cyber décision ».
En attendant, les industriels ont des outils à leurs dispositions pour consolider leurs innovations et démontrer la démarche de « Best Effort » vis-à-vis des autorités et des juges quand il faudra prouver que la montre ne contient pas un vice de forme supposé connu. Cela s’appelle de la Security By Design pour l’innovation et le fuzzing pour le reste.
Cependant, on attend toujours des normes, malgré un lobbying d’opposition, car une norme impose des investissements et surtout des contraintes. Celles-ci pourraient devenir des freins à l’innovation, et engendrer des coûts industriels qui remettraient en cause le bien-fondé de l’IoT. Comme quoi, tout a un prix.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.