Security by design : une approche recommandée pour les objets connectés

Security by design : une approche recommandée pour les objets connectés Les objets connectés ne cessent de s'imposer dans notre vie quotidienne mais ils sont aussi en proie à de nombreuses menaces de cybersécurité. Focus sur le security and privacy by design : quel enjeu de sécurité pour l'IoT à l'ère du big data ?  

Principe

Si on les appelle objets connectés, c'est parce qu'ils produisent des données qui sont transmises à un réseau informatique. En effet, lors d'une session de running équipée d'une smartwatch par exemple, les données concernant votre vitesse, distance, géolocalisation sont analysées et récoltées à l'aide d'une couche de capteurs. La data est ensuite communiquée au réseau informatique par wi-fi, bluetooth, 3G ou 4G. Ces données personnelles ont besoin d'être protégées et c'est en ce sens que l'on parle de security by design : une sécurité pensée dès la conception même de l'objet.

Privacy et security by design

La sécurité liée à l'utilisation d'un objet connecté est composée de deux notions : d'une part, le "security by design" qui consiste pour le constructeur à inclure la notion de risque dans son projet dès la phase de conception. C'est donc un travail d'identification des vulnérabilités de l'objet lui-même. D'autre part, le "privacy by design" fait référence à la protection des données personnelles des utilisateurs. Ce sont des normes éthiques concernant l'environnement autour de l'objet qui permettent le stockage et le partage de la data à des tiers. 

RGPD et Anssi

Le règlement général sur la protection des données (RGPD) est un texte de référence européen entré en application le 25 mai  2018. C'est un dispositif qui permet d'encadrer la collecte et le traitement des données personnelles sur tout le territoire de l'Union européenne. Le RGPD impose aux fabricants le "privacy by design", la traçabilité des données et la rédaction de "cahiers de développement" pour réfléchir sur l'impact que pourrait avoir le traitement de la data sur la vie privée des utilisateurs. Dans le même temps, les utilisateurs acquièrent de nouveaux droits : d'information, d'accès, de rectification, d'effacement des données ainsi que le droit à la portabilité (récupération physique de la data). L'ANSSI (Agence nationale de la sécurité des systèmes d'information) est un service à compétence nationale chargé de proposer des règles à appliquer pour la protection des systèmes d’information de l'État et de vérifier l'application des mesures adoptées. Elle a également une fonction de surveillance des cybermenaces qui mettent en péril la sécurité informatique de l'État. Afin de pouvoir se conformer au mieux au RGPD, l'ANSSI aide aussi les entreprises pour renforcer la sécurité pour les données qu'elles récoltent. Elle a par ailleurs publié un “kit de la sécurité des données" dans lequel elle donne ses recommandations aux entités publiques et privées en matière de "management du risque, des bonnes pratiques d’hygiène informatique, sensibilisation des collaborateurs, solutions numériques de confiance…"

Et aussi : 

Autour du même sujet

Dictionnaire de l'IoT

Security by design : une approche recommandée pour les objets connectés
Security by design : une approche recommandée pour les objets connectés

Principe Si on les appelle objets connectés, c'est parce qu'ils produisent des données qui sont transmises à un réseau informatique. En effet, lors d'une session de running équipée d'une smartwatch par exemple, les données concernant...