L’Internet des objets est-il plus sécurisé ?

Des études récentes montrent que les principaux acteurs de l’Internet des objets (IoT) améliorent leur sécurité et celle des données produites, mais qu’il reste encore un long chemin à parcourir.

La sécurité est manifestement une priorité émergente. Afin d’examiner la situation actuelle, Gemalto a interrogé 950 décideurs IT et métiers qui connaissent les problématiques liées à l’IoT dans leur entreprise. Certains constats sont encourageants, d’autres moins.

Aujourd’hui, les entreprises consacrent 13% de leurs budgets IoT à la sécurité, contre 11% l’année dernière. Parmi les personnes interrogées, 90% pensent que la sécurité est une préoccupation majeure pour leurs clients et 97% considèrent qu’une approche renforcée de la sécurité de l’IoT constitue un important levier de compétitivité.

Des méthodes bien spécifiques

Trois principaux outils de sécurité s’imposent auprès des fournisseurs de solutions IoT. Le premier est le chiffrement, dont l’utilisation est passée de 67% l’année dernière à 71% cette année. En France, en 2018, environ 57% des entreprises chiffraient toutes les données stockées sur des périphériques IoT. Le chiffrement n’a permis de limiter les dégâts que dans 4% des 944 failles de données survenues au premier semestre 2018. A ce jour, il reste le meilleur moyen de protéger tous les types de données.

De plus en plus d’entreprises ont également commencé à protéger leurs périphériques et autres technologies avec des mots de passe (en hausse de 63% à 66%). Le manque de protection par mot de passe a déjà été médiatisé dans le domaine de la sécurité de l’IoT. Le botnet Mirai, qui a ciblé des enregistreurs vidéo numériques non protégés, et d’autres botnets qui ont suivi, neutralisent des périphériques non sécurisés et les utilisent pour perpétuer des attaques DDoS (attaques par déni de service distribué).

L’utilisation croissante de la blockchain pour protéger les réseaux IoT est moins répandue, mais reste très prometteuse. Cette technologie permet d’authentifier plus efficacement les périphériques d’un réseau. Le nombre de personnes interrogées qui l’utilisent a augmenté de 10%, passant de 9% à 19% ; 23% ont déclaré l’utiliser dans ce but, tandis que 91% de celles qui n’utilisent pas cette technologie envisagent de le faire à l’avenir.

Des réglementations gouvernementales

Le nombre de personnes qui estiment que les administrations devraient prendre plus de mesures pour réglementer la sécurité de l’IoT est également significatif. Presque toutes les personnes interrogées (96%) pensent que des lois devraient être mises en place, et 80% vont jusqu’à demander aux administrations du monde entier de publier des directives plus rigoureuses pour ce marché. La responsabilité est une question essentielle à cet égard ; 59% des personnes interrogées considèrent que la réglementation devrait préciser qui est responsable de la sécurité de l’IoT.

Malgré les efforts visant à renforcer la sécurité, plus de la moitié des entreprises (52%) ne sont toujours pas en mesure de détecter si l’un de leurs périphériques IoT a été piraté. A titre d’exemple, seulement 36% des entreprises françaises sont capables de détecter ce type des failles de sécurité. C’est un problème évident, sachant que le nombre croissant d’appareils connectés élargit la surface d’attaque pour les pirates, sans parler du fait qu’une brèche de données non détectée peut avoir de graves répercussions.

La confidentialité des données est également un problème. Alors que la majorité des citoyens prennent conscience des problèmes liés à la confidentialité des données, 38% des personnes interrogées déclarent qu’elle représente une difficulté pour leur entreprise. 34% disent avoir du mal à collecter de grandes quantités de données à partir des appareils connectés. Seulement 59% déclarent que toutes les données de leur entreprise sont chiffrées.

62% des personnes utilisant l’IoT estiment que la sécurité de leurs périphériques IoT doit être renforcée et 54% déclarent que leur utilisation de l’IoT pose des problèmes de confidentialité. Il est clair que l’importance de la sécurité de l’IoT est de mieux en mieux comprise. Dans le passé, nous avons préconisé l’intégration de la sécurité lors de la conception, autrement dit, l’intégration de mécanismes de sécurité dans les technologies IoT en tant qu’élément essentiel de leur développement. Cette année, le nombre d’entreprises qui ont adopté cette approche est passé de 50% à 57%. C’est l’un des signes les plus encourageants.

Cela dit, tout le monde est d’accord pour reconnaître que les administrations sont à la traîne par rapport au rythme de l’innovation dans le domaine de l’IoT. Dans un monde idéal, nous pourrions prendre des mesures pour éviter les principaux problèmes liés à la confidentialité des données, tels ceux rencontrés dans d’autres segments du marché des technologies, avant qu’ils ne subissent de graves répercussions.

En attendant, il reste beaucoup à faire. Le nombre d’appareils connectés devrait atteindre 20 milliards d’ici 2023. Tous les acteurs de cet écosystème, qu’ils fabriquent des appareils, développent des logiciels ou traitent des données IoT, doivent continuer à améliorer la détection des failles et la protection des données.