Security by design : une approche recommandée pour les objets connectés

Les objets connectés ne cessent de s'imposer dans notre vie quotidienne. Assistants vocaux, éclairage, montres connectées... l'IoT façonne progressivement nos usages dans tous les domaines (sport, travail, loisirs, santé, domotique...). Bien que simplifiant la vie, ils sont aussi en proie à de nombreuses menaces de cybersécurité liées aux données récoltées. Focus sur le security and privacy by design  : quel enjeu de sécurité pour les IoT à l'ère du Big Data ?  

Principe

Si on les appelle objets connectés en tant que tels, c'est parce qu'ils produisent des données qui sont transmises à un réseau informatique. En effet, lors d'une session de running équipée d'une smartwatch par exemple, les données concernant votre vitesse, distance, géolocalisation sont analysées et récoltées à l'aide d'une couche de capteurs. La data est ensuite communiquée au réseau informatique par Wifi, Bluetooth, 3G ou 4G. Ces données personnelles ont besoin d'être protégées et c'est en ce sens que l'on parle de security by design. Autrement dit de sécurité pensée dès la conception même de l'objet.

Privacy et security by design

La sécurité liée à l'utilisation d'un objet connecté est composée de deux notions : d'une part, le "security by design" qui consiste pour le constructeur à inclure la notion de risque dans son projet dès la phase de conception. C'est donc un travail d'identification des vulnérabilités de l'objet lui-même. D'autre part, le "privacy by design" fait référence à la protection des données personnelles des utilisateurs. Ce sont des normes éthiques concernant l'environnement autour de l'objet qui permet le stockage et le partage de la data notamment à des tiers. 

RGPD et Anssi

Le Règlement général sur la Protection des Données est un nouveau texte de référence européen entré en application le 25 mai  2018. C'est un dispositif qui permet d'encadrer la collecte et le traitement des données personnelles sur tout le territoire de l'Union européenne. Le RGPD impose aux fabricants le ""privacy by design"", la traçabilité des données et la rédaction de ""cahiers de développement"" pour réfléchir sur l'impact que pourrait avoir leur traitement de la data sur la vie privée des utilisateurs. Dans le même temps, les utilisateurs acquièrent de nouveaux droits : d'information, d'accès, de rectification, d'effacement des données ainsi que le droit à la portabilité (récupération physique de la data). L'ANSSI ou Agence nationale de la Sécurité des Systèmes d'Information est un service à compétence nationale chargé de proposer des règles à appliquer pour la protection des systèmes d’information de l'État et de vérifier l'application des mesures adoptées. Elle a également une fonction de surveillance des cybermenaces qui mettent en péril la sécurité informatique de l'État. Afin de pouvoir se conformer au mieux au RGPD, l'ANSSI aide aussi les entreprises pour renforcer leur sécurité pour les données qu'elles récoltent. Elle a par ailleurs publié un “kit de la sécurité des données" dans lequel elle donne ses recommandations aux entités publiques et privées en matière de "management du risque, des bonnes pratiques d’hygiène informatique, sensibilisation des collaborateurs, solutions numériques de confiance…"

Autour du même sujet

Dictionnaire de l'IoT

Security by design : une approche recommandée pour les objets connectés
Security by design : une approche recommandée pour les objets connectés

Principe Si on les appelle objets connectés en tant que tels, c'est parce qu'ils produisent des données qui sont transmises à un réseau informatique . En effet, lors d'une session de running équipée d'une smartwatch par exemple,...