Un objet connecté peut se définir comme suit : « des objets qui captent, stockent, traitent et transmettent des données, qui peuvent recevoir et donner des instructions et qui ont pour cela la capacité à se connecter à un réseau d’information. On peut distinguer les objets mettables (wearable), mobiles, domestiques ou de loisir, d’infrastructure ou de productivité » [1].
Leurs particularités ? Un fonctionnement articulé entre un objet, son capteur et une plateforme permettant une analyse de donnée produite en quantité importante, en temps réel et personnalisée à l’utilisateur.
Cette singularité les rend particulièrement attractifs tant pour les particuliers que pour les entreprises.
Pourtant, l’utilisation ou la proposition d’utilisation de tels objets comportent de nouveaux enjeux et de nouveaux risques.
Quels sont les nouveaux risques et enjeux ?
Sécurité : Accès illégal aux informations stockées ou échangées : compromission des données qui transitent ou qui sont stockées par l’objet connecté ou encore perturbations du fonctionnement empêchant l’objet connecté de transmettre des données et de remplir son rôle pouvant ainsi créer des conséquences dommageables plus ou moins importantes en fonction de son rôle (santé, industrie, smart véhicule, smart city, etc…)
Économique : perte d’investissement, perte de données, atteinte à l’image de l’entreprise, fragilité des entreprises créatrices d’objets connectés
Atteinte aux personnes (à la vie privée directe et risque physique) : atteinte à la confidentialité des données directe ou indirecte (observation du comportement ou du déplacement de l’objet) notamment via le détournement de l’usage d’un objet en récupérant des données (ex : caméra et enceintes connectées)
Dépendance technologique
Comment sécuriser l’utilisation d’un objet connecté ?
L’IoT doit être envisagé au travers de son cycle de vie qui peut s’étendre sur des périodes de temps très variable ( de 3 mois à 100 ans).
dès l’étape de construction du projet : il faut (i) vérifier la légalité du projet IoT (analyser les droits fondamentaux, les règles spécifiques, identifier le cadre légal applicable…), (ii) lever les éventuels freins juridiques, notamment par la mise en œuvre de solutions techniques et juridiques (vérifier l’existence de demande d’autorisation nécessaire, par exemple la certification HDS en matière de santé…) et enfin (iii) gérer la conformité à la règlementation générale relative à la protection des données (RGPD) ;
pendant son exploitation : il faut sécuriser le projet (i) en interne, par l’élaboration d’une politique de sécurité, la sensibilisation et la formation aux risques notamment juridiques, l’élaboration d’une charte d’utilisation des IoT s’ils sont utilisés par l’entreprise et (ii) en externe, par la rédaction des contrats et chaine de contrats pertinents avec chacun des prestataires et partenaires impliqué dans la mise en place de l’IoT (l’objet, son capteur, la plateforme et les réseaux), les CGV et CGU pour l’utilisateur de l’objet connecté et (iv) globalement par la mise en œuvre d’une organisation adaptée et de bonnes pratiques (telle que la mise à jour régulière de sa politique de sécurité, un audit régulier du SI, des procédures spécifiques, etc…).
gérer la fin de vie de l’IoT ; réversibilité, destruction, remplacement, etc…
Comment réagir à une atteinte à la sécurité ?
S’organiser pour mettre fin à l’atteinte sans délais : pour cela :
-
- Mettre en place, en amont, une politique de gestion de crise, qui permettra d’investiguer rapidement et efficacement, il s’agit par exemple de définir les acteurs et actions nécessaires pour mobiliser sans délai les expertises et compétences pour corriger techniquement l’incident
- Identifier et documenter précisément l’ensemble des caractéristiques de l’incident de sécurité
- Préserver des preuves fiables de l’incident de sécurité par l’organisation d’un constat réalisé par un huissier de justice accompagner par une équipe d’experts techniques.
Identifier ses obligations légales en matière de sécurité, notamment ce qui relève de la procédure de gestion de violation des données à caractère personnel qui doit être mise en place en interne ou encore de la procédure de notification aux personnes concernées ;
Définir une stratégie efficace de gestion du risque de l’entreprise, en particulier ; déterminer une stratégie de communication à destination des clients, partenaires et tiers avec pour objectif de préserver l’image de l’entreprise résultant de l’atteinte, envisager les différents recours judiciaires pour obtenir l’indemnisation du préjudice subi.
En conclusion, pour sécuriser vos projets IoT, nous vous recommandons notamment de :
Impliquer la direction générale dans le projet IoT, dès le début et pendant toute son exploitation,
Anticiper les risques notamment en pensant la sécurité en amont de la conception de votre projet IoT ;
Sécuriser l’exploitation des IoT tant en interne qu’en externe, notamment :
-
- Formaliser les procédures et politiques de sécurité adaptées,
- Intégrer les clauses pertinentes dans les contrats avec ses partenaires et prestataires,
- Rédiger les documents contractuels pertinents pour l’utilisation de l’IoT par les utilisateurs personnes physiques et/ou personnes morales,
- Mettre en œuvre de bonnes pratiques efficaces, cohérentes et pragmatiques ;
Mettre en place une organisation fluide et efficace pour anticiper et gérer les différents risques.